WhatsappWeb è un’estensione web-based della nota applicazione per smartphone.
L’applicazione web sincronizza i messaggi direttamente con l’app installata sullo smartphone e fornisce una pratica interfaccia desktop.

Alcuni ricercatori hanno recentemente scoperto una significante vulnerabilità che sfrutta la logica stessa di Whatsapp per permettere ad attaccanti malevoli di eseguire codice arbitrario sulle macchine degli utenti. I ricercatori di Check Point che per primi hanno scoperto la vulnerabilità, hanno dato prova della semplicità con cui sia possibile sfruttare quest’ultima.
Essa risiede nel sistema di gestione delle vCard. La vCard altro non è che un formato standard per i biglietti da visita elettronici.

DETTAGLI TECNICI

Il comando malevolo è iniettato nell’attributo nome della vCard, quando eseguita, Windows esegue ogni linea di codice all’interno del file. Per sfruttare il baco è bastato dunque inviare ad un contatto whatsapp che usasse il client web, una vCard ‘alterata’ con del codice malevolo, per permettere l’esecuzione di codice Javascript all’interno del browser bersaglio.

Per attaccare un qualunque individuo, tutto ciò di cui ha bisogno l’attaccante è del numero di telefono associato a quell’account whatsapp e della vCard alterata. L’utente inconsapevolmente, aprendo la vCard, scarica file potenzialmente dannosi e che possano garantire il pieno controllo del nostro computer al malintenzionato, fungendo così da vettore per Bots, RATs e altri tipi di Malware.

Check Point nella sua ricerca ha mostrato alcuni possibili scenari atti alla diffusione di software malevolo sui computer delle vittime.
Esaminando il protocollo di comunicazione di Whatsapp (una versione modificata dello standard open source chiamato XMPP – Extensibile Messaging and Presence Protocol), possiamo ricostruire un messaggio vCard così come appare durante il transito in rete, quando si utilizza appunto il protocollo di Whatsapp.
La struttura di un messaggio vCard è grossolanamente questa:

<message to="**NUMBER/GROUPID**" type="media" id="**ID**" t="**TIMESTAMP**">
	<media type="vcard">
		<vcard name="**FILENAME**">**FILEDATA**</vcard>
	</media>
</message>

dove:

NUMBER/GROUPID: è il numero della vittima o l’ID del gruppo.
ID: L’id del messaggio.
TIMESTAMP: data e ora del dispositivo mittente.
FILENAME: il nome del file vCard, .exe
FILEDATA: i dati grezzi del file.

La cosa sconcertante è che Whatsapp Inc. non ha pensato di effettuare alcun controllo sul formato della vCard, nè di validare il suo contenuto. E infatti allegando a questa richiesta un file .exe (un binario eseguibile su windows o qualsiasi altro tipo di file), il client whatsapp sarà più che felice di farci scaricare il file malevolo.
Inoltre è possibile giocare con la struttura dell vCard per assegnare icone e nomi tra i più disparati, mascherando meglio ciò che realmente l’attaccante cerca di inviarci.

Questo semplice trucchetto apre una vasta gamma di opportunità ai cybercriminali.

Questo attacco inoltre non comporta l’utilizzo di chissà quale sofisticato strumento d’hacking. Qualsiasi utente può infatti creare un contatto vCard con un payload malevolo iniettato all’interno, direttamente dal proprio smartphone. E se pensiamo che a settembre 2015 whatsapp ha annunciato il raggiungimento di 900 milioni di utenti attivi mensilmente e di questi si stima che almeno 200 milioni usino regolarmente l’interfaccia Web, si traduce in 200 milioni di utenti potenzialmente a rischio.

CONCLUSIONE

Whatsapp Inc. già dal 27 Agosto ha preso nota del baco di sicurezza e rilasciato la versione del client web aggiornata. Tutte le versioni di Whatsapp Web dopo la v.0.1.4481 sono immuni a questo attacco.

Gli stessi ricercatori di Check Point hanno sottolineato ed elogiato la prontezza di Whatsapp Inc. nel rispondere celermente a una minaccia del genere.

La scoperta del bug risale al 21 Agosto 2015, già dal 27 Agosto Whatsapp ha inibito lo scambio di vCard per rilasciare in seguito un fix definitivo.