Vai al contenuto

Aggiornate subito WhatsApp per chiudere due falle critiche

Il 27 settembre scorso è stato rilasciato un aggiornamento di sicurezza molto
importante per WhatsApp per Android e iOS, che va installato appena possibile,
perché chiude
due falle
estremamente gravi che permettono a un aggressore di prendere il controllo
degli smartphone semplicemente avviando una videochiamata oppure inviando alle
vittime un video appositamente alterato.

Le falle sono identificate formalmente con le sigle CVE-2022-36934 e
CVE-2022-27492. La prima è presente in WhatsApp normale e in WhatsApp Business
per Android e per iOS nelle versioni prima della 2.22.16.12; la seconda è
presente in Whatsapp per Android nelle versioni prima della 2.22.16.2 e in
WhatsApp per iOS nelle versioni prima della 2.22.15.9. 

Se vi perdete nei numeri di versione, nessun problema: è sufficiente che
aggiorniate WhatsApp alla versione più recente disponibile su Google Play su
App Store.

Per gli amanti dei dettagli, la prima falla è un classico
integer overflow, ossia una situazione in cui un valore intero usato nell’app diventa troppo
grande per lo spazio che gli è stato assegnato, un po’ come quando occorre
compilare un formulario e le caselle a disposizione non bastano per immettere
il numero che bisogna scrivere. Questo produce un errore di calcolo, e se il
risultato di quel calcolo viene usato per controllare il comportamento
dell’app, l’errore può portare a problemi di sicurezza.

La seconda falla è invece l’esatto contrario, vale a dire un
integer underflow, un errore nel quale un calcolo produce un risultato troppo piccolo, per
esempio una sottrazione di un numero grande da un numero più piccolo che
produce un valore negativo in una situazione nella quale i valori negativi non
sono previsti.

Se pensate che questo tipo di falla sia troppo esotico per essere sfruttato,
tenete presente che una vulnerabilità analoga che c’era nelle chiamate vocali
di WhatsApp è stata utilizzata nel 2019 da una società che produce software
spia, NSO Group, per iniettare un suo programma di sorveglianza nascosta,
denominato
Pegasus, negli smartphone di bersagli politici, docenti, avvocati e collaboratori di
organizzazioni non governative.

Fonte aggiuntiva:
The Hacker News.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
0 0 voti
Valutazione dell'articolo
Iscriviti
Notificami
guest

0 Commenti
Feedback in linea
Visualizza tutti i commenti
0
Esprimete la vostra opinione commentando.x