Sicurezza

Whatsapp Web era una pacchia per hacker e malware: avete ricevuto file di recente?

Whatsapp è uno dei sistemi di messaggistica più famosi e diffusi del Pianeta. Quasi tutti lo usano e da qualche mese è disponibile anche un client che gira nel browser, più comodo da usare per chi è spesso a una scrivania.

Purtroppo, questo client è rimasto vulnerabile a una grave falla di sicurezza fino al 27 agosto scorso che permetteva ad eventuali cybercriminali di inviare malware su qualsiasi macchina collegata a Whatsapp Web.apertura

Il client web, infatti, permette l'invio e la ricezione di tutti i contenuti che sono permessi anche nell'app: immagini, messaggi vocali, link e anche biglietti da visita elettronici in formato Vcard.

La gestione di questi ultimi, però, non era impeccabile ed era possibile incorporare del codice nel VCard e mandarlo in esecuzione costruendo in maniera opportuna il file da inviare.

Il codice, è bene specificare, veniva eseguito solo all'apertura tramite doppio clic del biglietto da visita e alcuni antivirus potevano ovviamente riconoscere la minaccia, anche se ormai in esecuzione, e alcuni bloccarla.

Chi non aveva un antivirus installato sulla macchina non aveva, invece, modo di accorgersi di quanto stava accadendo.

 La vulnerabilità è stata scoperta da Check Point il 21 agosto, giorno in cui è stata segnalata a Whatsapp che ha provveduto a chiuderla il 27.

Ci sarebbe quindi da star tranquilli se non ci fosse capitato di ricevere dei Vcard nel periodo di vulnerabilità, ma il ricercatore Kasif Dekel ha approfondito la cosa e ha scoperto che il file infetto può assumere una gran varietà di forme.

La vulnerabilità, infatti, si può sfruttare modificando semplicemente alcuni campi di un contatto ed esportandone il Vcard. Nella foto qui sotto, possiamo vedere che basta aggiungere un "&" dopo il nome e inserire .bat nel campo in fondo per poter forzare l'esecuzione dei comandi batch presenti dopo il simbolo "&".

VCaRD
Cosa può adescarci meglio del Vcard di una bella figliola o di una persona che dobbiamo contattare per affari?

Per di più, sempre secondo Kasif Dekel, i comandi non devono per forza essere di tipo batch, ma si può addirittura inserire del codice .exe da lanciare impunemente.

formato
Questi sono i campi che si possono andare a modificare nella richiesta web inseribile nel Vcard. Per il client Web di Whatsapp andava bene tutto.

Il client, infatti, non eseguiva alcun controllo sui dati contenuti nei campi del Vcard e se nei campi si specificava di scaricare un exe, il client eseguiva senza porsi domande, per poi eseguirlo al comando dell'utente.

Scaricato!
Ecco la conferma che il file exe richiesto dai campi che abbiamo modificato è arrivato.

Come ciliegina sulla torta, era anche possibile modificare l'icona del file inviato, per renderlo ancora meno suscettibile a sospetti da parte di chi lo riceveva.

icona
Ah, le icone e le emoticon… quanti virus che hanno fatto circolare…

Insomma, la vulnerabilità era pesante ed estesa, rivelando che chi ha scritto quel pezzo di codice non ha tenuto minimamente conto delle indispensabili policy di sicurezza necessarie quando si ha a che fare con client connessi alla Rete.

Per quanto ci riguarda, adesso si può stare tranquilli in quanto sembra che il compito di chiusura della falla sia stato eseguito a dovere, ma se abbiamo ricevuto dei file in passato tramite il client di Web di Whatsapp, è meglio fare una passatina di antivirus.