Whatsapp è uno dei sistemi di messaggistica più famosi e diffusi del Pianeta. Quasi tutti lo usano e da qualche mese è disponibile anche un client che gira nel browser, più comodo da usare per chi è spesso a una scrivania.
Purtroppo, questo client è rimasto vulnerabile a una grave falla di sicurezza fino al 27 agosto scorso che permetteva ad eventuali cybercriminali di inviare malware su qualsiasi macchina collegata a Whatsapp Web.
Il client web, infatti, permette l'invio e la ricezione di tutti i contenuti che sono permessi anche nell'app: immagini, messaggi vocali, link e anche biglietti da visita elettronici in formato Vcard.
La gestione di questi ultimi, però, non era impeccabile ed era possibile incorporare del codice nel VCard e mandarlo in esecuzione costruendo in maniera opportuna il file da inviare.
Il codice, è bene specificare, veniva eseguito solo all'apertura tramite doppio clic del biglietto da visita e alcuni antivirus potevano ovviamente riconoscere la minaccia, anche se ormai in esecuzione, e alcuni bloccarla.
Chi non aveva un antivirus installato sulla macchina non aveva, invece, modo di accorgersi di quanto stava accadendo.
La vulnerabilità è stata scoperta da Check Point il 21 agosto, giorno in cui è stata segnalata a Whatsapp che ha provveduto a chiuderla il 27.
Ci sarebbe quindi da star tranquilli se non ci fosse capitato di ricevere dei Vcard nel periodo di vulnerabilità, ma il ricercatore Kasif Dekel ha approfondito la cosa e ha scoperto che il file infetto può assumere una gran varietà di forme.
La vulnerabilità, infatti, si può sfruttare modificando semplicemente alcuni campi di un contatto ed esportandone il Vcard. Nella foto qui sotto, possiamo vedere che basta aggiungere un "&" dopo il nome e inserire .bat nel campo in fondo per poter forzare l'esecuzione dei comandi batch presenti dopo il simbolo "&".
Per di più, sempre secondo Kasif Dekel, i comandi non devono per forza essere di tipo batch, ma si può addirittura inserire del codice .exe da lanciare impunemente.
Il client, infatti, non eseguiva alcun controllo sui dati contenuti nei campi del Vcard e se nei campi si specificava di scaricare un exe, il client eseguiva senza porsi domande, per poi eseguirlo al comando dell'utente.
Come ciliegina sulla torta, era anche possibile modificare l'icona del file inviato, per renderlo ancora meno suscettibile a sospetti da parte di chi lo riceveva.
Insomma, la vulnerabilità era pesante ed estesa, rivelando che chi ha scritto quel pezzo di codice non ha tenuto minimamente conto delle indispensabili policy di sicurezza necessarie quando si ha a che fare con client connessi alla Rete.
Per quanto ci riguarda, adesso si può stare tranquilli in quanto sembra che il compito di chiusura della falla sia stato eseguito a dovere, ma se abbiamo ricevuto dei file in passato tramite il client di Web di Whatsapp, è meglio fare una passatina di antivirus.