Fino a pochi giorni fa Whatsapp Web e Telegram Web, i client per browser delle due popolari applicazioni di messaggistica, contenevano delle pericolose falle di sicurezza che avrebbero potuto portare un hacker a impossessarsi degli account. I pirati informatici sarebbero così riusciti ad accedere alle chat personali e di gruppo delle vittime, alle foto, ai video e agli altri file condivisi, alla lista dei contatti e a molto altro ancora. La vulnerabilità è stata scoperta dai ricercatori di Check Point e comunicata a Whatsapp e Telegram l’otto marzo scorso: le due aziende hanno rilasciato in breve tempo una patch correttiva. Per essere certi di utilizzare la versione più recente dei clienti è sufficiente riavviare il browser, anche perché le due società non hanno comunicato niente agli utenti.
Ma in cosa consiste la falla? Un hacker invia alla vittima del codice malevolo, nascosto all’interno di un’immagine qualsiasi. Non appena l’utente clicca sul file, il cybercriminale può ottenere il pieno accesso ai dati archiviati su Whatsapp o Telegram, ottenendo così il controllo dell’account. Da qui, il malintenzionato può facilmente inviare altre immagini corrotte ai contatti della vittima, creando così un attacco potenzialmente propagabile su larga scala.
Entrambe le applicazioni utilizzano la crittografia end-to-end per garantire che solo le persone che stanno comunicando possano leggere i messaggi scambiati, azzerando il rischio visibilità dei dati sul canale. In questo caso, però, è proprio la crittografia end-to-end a trovarsi alla base della vulnerabilità. Poiché i messaggi vengono protetti dal lato del mittente, Whatsapp e Telegram non potevano vederne il contenuto ed erano dunque incapaci di impedire l’invio di contenuti corrotti.
Credits: Check Point
Ora, con il correttivo, i file vengono convalidati prima della crittografia, consentendo quindi di bloccarli se dannosi. Ma il bug evidenziato da Check Point lascia comunque uno spunto di riflessione: le versioni Web based delle applicazioni mobili sono da considerare generalmente meno sicure di quelle utilizzabili da smartphone e tablet.
Lo ha ribadito a Zdnet Kenneth White, ricercatrice e co-direttrice della società di sicurezza Open Crypto Audit Project (Ocap): nel momento in cui si accede alla versione Web di un’applicazione mobile è possibile che alcuni dei paletti di sicurezza originali vengano rimossi.