In questo articolo
nuova vulnerabilità in whatsapp: media 'view-once'
È recentemente emersa una vulnerabilità riguardante la funzionalità di media 'view-once' su iOS per l'app WhatsApp. Questo difetto permetteva ai destinatari di visualizzare i media condivisi con tale modalità in modo permanente, bypassando l'intento di ephemerality progettato per questa funzione. Era possibile accedere ai file multimediali attraverso le impostazioni di gestione dello spazio di archiviazione dell'app.
correzione della vulnerabilità
Il problema, specifico per il sistema operativo iOS, non è stato replicabile su Android e sembra essere stato risolto tramite un aggiornamento server avvenuto nel fine settimana. Al momento, Meta non ha rilasciato dichiarazioni pubbliche riguardo la vulnerabilità corretta.
funzionalità di sicurezza di whatsapp
WhatsApp, parte della famiglia Meta, è considerato uno dei servizi di messaggistica più sicuri sul mercato, poiché offre una serie di misure di sicurezza, tra cui:
- criptazione end-to-end
- verifica in due passaggi
- impostazioni sulla privacy per i gruppi e i contatti
- media 'view-once'
Nonostante ciò, è fondamentale notare che questa funzionalità aveva già mostrato delle problematiche in passato.
precedenti problematiche di sicurezza
Nel settembre scorso, un ricercatore di sicurezza, Tal Be’ery, aveva scoperto un modo per visualizzare e salvare i media 'view-once' utilizzando WhatsApp Web, mentre tale funzione era progettata per funzionare solo sulle app Android e iOS. Questo problema è stato corretto all'inizio di dicembre scorso.
metodologia di sfruttamento della vulnerabilità
Fino alla correzione, il metodo di sfruttamento della vulnerabilità era piuttosto semplice e seguiva questi passaggi:
- Ricevere un file multimediale 'view-once'
- Apertura e chiusura del media all'interno della chat
- Accesso a Impostazioni → Archiviazione e dati → Gestisci archiviazione
- Ricerca del contatto che ha condiviso il media da visualizzare
- Visualizzazione del media all'interno della lista, nonostante fosse stato aperto e chiuso
risultati delle indagini
Il team di Android Police è riuscito a replicare questo difetto fino al 23 gennaio, ma successivamente, una volta installato il fix, non è stato più possibile accedere a questa modalità di sfruttamento. Non è stata rilasciata una nuova versione dell'app, suggerendo che la correzione sia avvenuta a livello server.
Scopri di più da Chromebook Observer
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.