WhatsApp ha pubblicato i dettagli di una vulnerabilità di sicurezza classificata come “critica” che riguarda la sua applicazione Android e che potrebbe consentire agli hacker di installare da remoto un malware sullo smartphone della vittima durante una videochiamata.
I dettagli della falla, classificata come CVE-2022-36934 con un punteggio di gravità di 9,8 su 10, sono descritti da WhatsApp come un bug di integer overflow. Questo accade quando un’applicazione cerca di eseguire un processo di calcolo ma non ha spazio nella memoria assegnata, causando la fuoriuscita dei dati e la sovrascrittura di altre parti della memoria del sistema con codice potenzialmente dannoso.
WhatsApp non ha fornito ulteriori dettagli sul bug. Ma la società di ricerca sulla sicurezza Malwarebytes ha dichiarato nella sua analisi tecnica che il bug si trova in un componente dell’app di WhatsApp chiamato “Video Call Handler”, che se attivato permetterebbe a un cyber criminale di prendere il controllo completo dell’app della vittima.
Joshua Breckman, portavoce di WhatsApp, ha dichiarato che il bug è stato scoperto internamente e che l’azienda non ha riscontrato “alcuna prova di sfruttamento”.
La vulnerabilità della memoria classificata come critica è simile a un bug del 2019, che WhatsApp ha infine imputato al produttore di spyware israeliano NSO Group nel 2019 per colpire i telefoni di 1.400 vittime, tra cui giornalisti, difensori dei diritti umani e altri civili. L’attacco sfruttava un bug nella funzione di chiamata audio di WhatsApp che consentiva a chi chiamava di installare uno spyware sul dispositivo della vittima, indipendentemente dalla risposta alla chiamata.
Questa settimana WhatsApp ha anche rivelato i dettagli di un’altra vulnerabilità, CVE-2022-27492, classificata di gravità “elevata” con un punteggio di 7,8 su 10, che potrebbe consentire agli hacker di eseguire codice dannoso sul dispositivo iOS di una vittima dopo l’invio di un file video dannoso.
“La manipolazione con un input sconosciuto porta a una vulnerabilità di corruzione della memoria”, ha dichiarato Pieter Arntz, ricercatore di Malwarebytes. “Per sfruttare questa vulnerabilità, gli hacker dovrebbero rilasciare un file video artigianale sull’app WhatsApp dell’utente e convincerlo a riprodurlo”.
Entrambe le falle sono state corrette nelle ultime versioni di WhatsApp rilasciata oggi, quindi se potete aggiornate subito l’app.