Risolta una vulnerabilità su WhatsApp

WhatsApp per Android e iPhone presentava una vulnerabilità che consentiva a un attaccante di prendere il controllo dell’app. Per farlo bastava che l’utente rispondesse a una videochiamata.

La vulnerabilità è stata scoperta verso la fine di agosto dalla ricercatrice Natalie Silvanovich, di Google Project Zero, che ha descritto il bug qui.

Attraverso un pacchetto RTP modificato era possibile causare una heap corruption, portando al crash dell’applicazione. Nel bug report la ricercatrice ha incluso anche il codice per una proof-of-concept.

Come di consueto, la vulnerabilità è stata tenuta riservata per consentire all’azienda di rilasciare un fix.

Il problema è stato risolto il 28 settembre per l’app di Android, e il 3 ottobre per iOS.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.