I ricercatori di sicurezza del produttore di criptovalute Zengo hanno scoperto una nuova vulnerabilità nella configurazione multi-dispositivo di WhatsApp.
Questa vulnerabilità potrebbe potenzialmente esporre dettagli sui sistemi operativi e sulle configurazioni dei dispositivi degli utenti, portando all’esposizione di metadati e potenziali minacce malware. Il bug informativo deriva dal processo di generazione dell’ID del messaggio di WhatsApp.
Esposizione dei metadati di WhatsApp e rischio di potenziale minaccia malware
L’analisi di Zengo mostra che WhatsApp genera ID messaggio univoci per ogni dispositivo collegato a un account, come telefoni Android, iPhone e desktop Windows.
Ogni piattaforma genera ID in formati diversi , con lunghezze e caratteristiche variabili a seconda del sistema operativo.
Tal Be’ery, co-fondatore di Zengo, ha spiegato nell’analisi che gli aggressori potrebbero determinare su quale piattaforma si trova un utente analizzando questi ID dei messaggi.
Ad esempio, un client WhatsApp per Windows genera un ID di 18 caratteri, mentre i client Android e iPhone hanno strutture ID distinte.
Questa esposizione di metadati potrebbe fornire informazioni preziose ai criminali informatici, consentendo loro di personalizzare gli attacchi malware in base al dispositivo dell’utente.
Be’ery ha sottolineato che conoscere il sistema operativo di un utente è fondamentale quando si distribuisce un malware, poiché ogni piattaforma ha le sue vulnerabilità.
Grazie a queste informazioni, gli aggressori potrebbero individuare il dispositivo più vulnerabile associato all’account WhatsApp di un utente.
Sebbene Be’ery abbia minimizzato la gravità della minaccia, ha riconosciuto la possibilità che se opportunamente calibrata nelle campagne malware si possano sfruttare queste falle informative per perfezionare le campagne di distribuzione dei malware.
“Sebbene non sia una catastrofe, è una preoccupazione seria”, ha spiegato Be’ery nell’analisi.
Zengo ha affermato di aver informato Meta, la società madre di Whatsapp, della vulnerabilità il 17 settembre, ma non ha ancora ricevuto risposta dal gigante della tecnologia.
Questa mancanza di risposta ha spinto Zengo a rendere pubblica la questione. Be’ery ha espresso delusione per il silenzio di Meta, soprattutto data la semplicità del problema e il potenziale rischio.
Non è la prima volta che Zengo evidenzia un problema di sicurezza in WhatsApp. A settembre, l’azienda ha anche identificato un difetto nella funzionalità “View Once” di WhatsApp , che avrebbe dovuto garantire che i contenuti multimediali scompaiano dopo la visualizzazione.
Nonostante i tentativi di Meta di risolvere il problema, Zengo sostiene che la correzione della vulnerabilità e’ stata irrisolta.
