L’azienda di proprietà di Facebook ha annunciato il proprio impegno per una maggiore trasparenza sulle vulnerabilità delle sue app con una pagina di consulenza volta a divulgare pubblicamente e mantenere più informati gli utenti e la comunità della sicurezza sui bug e sulla sicurezza delle app.
WhatsApp ha così corretto sei difetti precedentemente sconosciuti nella sua app e li ha divulgati sul nuovo sito dedicato.
Alcune delle vulnerabilità sono state segnalate tramite il programma bug bounty di Facebook, mentre le altre sono state scoperte durante il code reviews.
Un bug, CVE-2020-1894, è un overflow di scrittura dello stack che può aver consentito l’esecuzione di codice arbitrario durante la riproduzione di un messaggio push to talk appositamente predisposto. La vulnerabilità interessa le versioni WhatsApp per Android prima della v2.20.35, WhatsApp Business per Android prima della v2.20.20, WhatsApp per iPhone prima della v2.20.30 e WhatsApp Business per iPhone prima della v2.20.30.
Un altro bug, CVE-2020-1891, è una scrittura fuori limite su dispositivi a 32 bit e interessa le versioni WhatsApp per Android prima della v2.20.17, WhatsApp Business per Android prima della v2.20.7, WhatsApp per iPhone prima della v2.20.20 e WhatsApp Business per iPhone prima della v2.20.20.
Il terzo difetto, CVE-2020-1890, è un problema di convalida dell’URL che potrebbe aver causato il caricamento di un’immagine da un URL controllato dal mittente al destinatario di un messaggio adesivo contenente dati deliberatamente malformati senza l’interazione dell’utente. La vulnerabilità interessa le versioni Android di WhatsApp e WhatsApp Business per Android
Gli altri bug riguardano un problema di bypass delle funzionalità di sicurezza, monitorato come CVE-2020-1889, che interessa le versioni desktop precedenti alla v0.3.4932; un buffer overflow, tracciato come CVE-2020-1886, che risiede in WhatsApp per Android prima della v2.20.11 e WhatsApp Business per Android prima della v2.20.2 e, infine, un problema di convalida dell’input, registrato come CVE-2019-11928, che risiede nelle versioni Desktop precedenti alla v0.3.4932.
Cinque dei sei difetti recentemente scoperti sono stati risolti immediatamente dopo la loro scoperta. Il sesto difetto è stato risolto pochi giorni dopo la sua divulgazione.
Il sito di consulenza fornirà un elenco completo degli aggiornamenti di sicurezza di WhatsApp e delle vulnerabilità e delle esposizioni comuni (CVE) associate, con descrizioni volte ad aiutare i ricercatori a comprendere l’impatto dei bug.
“Siamo molto impegnati per la trasparenza e questa risorsa ha lo scopo di aiutare la più ampia comunità tecnologica a trarre vantaggio dagli ultimi progressi nei nostri sforzi di sicurezza”, ha dichiarato la società in un post sul nuovo sito.
https://securityaffairs.co/wordpress/107950/security/whatsapp-undisclosed-flaws.html