Articoli

Whatsapp, cosa dice la nuova informativa sulla privacy

Whatsapp aggiorna i Termini di servizio e l’informativa privacy, sollevando i timori collettivi di perdere il controllo sui propri dati. Pesa anche, come una pistola puntata, l’obbligo per gli utenti di accettarli entro l’8 febbraio 2021 pena l’impossibilità di usare il social. Un’iniziativa che spinge verso una maggiore integrazione tra le diverse realtà legate a Facebook.

L’invio delle notifiche per segnalare l’iniziativa ha suscitato preoccupazioni dal punto di vista della privacy, in particolare per quanto riguarda il data sharing con Facebook e le sue aziende.

Whatsapp ha comunicato che per gli utenti europei e del regno Unito non ci saranno modifiche alle modalità di condivisione dei dati, ciononostante – o forse proprio per questo – la novità è interessante per noi europei.

Cosa dice la nuova informativa privacy di Whatsapp?

Gli aggiornamenti principali fatti ai termini di servizio approfondiscono i modi in cui vengono trattati i dati e come le aziende che si servono di Whatsapp Business possono usare i servizi di Facebook per la gestione della chat. L’aggiornamento delle informazioni, controllando sul sito di Whatsapp, è stato fatto il 4 gennaio. Compare un banner giallo in cui vengono annunciate le modifiche.

Cliccando sul link “questa pagina”, si apre una schermata con quattro link che conducono agli aggiornamenti sulle condizioni d’uso del social:
• Aggiornamenti chiave, dove brevemente vengono illustrati gli highlight dell’iniziativa
• Termini di servizio
• Informativa privacy
• Codice europeo delle comunicazioni elettroniche

I termini di servizio e la privacy policy sono differenti a seconda che l’utente risieda o no nella regione europea. Whatsapp lo comunica indicando i link ai rispettivi documenti. Tra le differenze, per esempio, l’età che rende possibile l’iscrizione: in Europa sedici anni, in altre regioni tredici anni. Un’importante differenza è la nota sulle attività globali di data sharing, assente nell’informativa europea.

Questa informazione riguarda gli utenti che non risiedono nella regione europea. Riguardo alla gestione dei dati con le altre aziende legate a Facebook, l’informativa europea precisa che le informazioni condivise da Whatsapp con le altre imprese non possono essere utilizzate da queste per finalità proprie.

 

Fonte: CyberSecurity360

WhatsApp, ecco i messaggi a scomparsa: dureranno solo una settimana

Finalmente WhatsApp lancia una delle funzionalità più attese: i messaggi a scomparsa. Mentre Menlo Park ha appena annunciato che la chat ha superato i 100 miliardi di messaggi scambiati ogni giorno, arriva dunque la possibilità che in molti aspettavano per avere più controllo sulle proprie conversazioni. Da oggi i messaggi, comprese le immagini e i video, possono avere una scadenza ed essere dunque impostati per sparire dopo una settimana. Dando dunque seguito a un lungo periodo di test avviato almeno all’inizio dell’anno.

La funzionalità è in fase di distribuzione globale sia su Android che su iOS proprio da oggi e dovrebbe essere disponibile per gli oltre due miliardi di utenti dell’app controllata da Facebook entro la fine di novembre, secondo conferme ufficiali di WhatsApp. Si comincia con i 7 giorni ma in molti già pensano che presto potrebbero arrivare altre soglie di scomparsa per i contenuti effimeri. “Monitoreremo i feedback su come le persone useranno la funzionalità e se la gradiranno e capiremo se bisognerà fare degli aggiustamenti in futuro” ha spiegato un portavoce. “Per ora testiamo i sette giorni, ci sembra una giusta via di mezzo fra l’utilità di condurre una conversazione sensata e la voglia di non lasciare testi o contenuti in giro per sempre”. Ci si allinea insomma non solo a Snapchat ma anche a Signal, Telegram, Wire e perfino Messenger nelle conversazioni segrete protette da crittografia end-to-end. Ma in modo un po’ più soft.

Ci sono tuttavia dei limiti. Nelle chat di gruppo, per esempio, saranno gli amministratori a decidere se i partecipanti possano servirsene o meno. Ogni conversazione inizierà come sempre, cioè l’opzione sarà disattivata di default e, appunto, non ci sarà alcuna granularità a disposizione: per ora solo la scadenza di una settimana, dopo la quale i contenuti svaniranno. “Il nostro obiettivo è rendere le conversazioni su WhatsApp più vicine possibili a quelle di persona e questo significa che non possano durare per sempre” scrivono dal gruppo in un post sul blog ufficiale. Attenzione, poi, ad altre questioni. Per esempio impostare una conversazione con messaggi a scomparsa non cambierà alcunché nella dinamica dell’applicazione: gli utenti potranno cioè inoltrare i contenuti di una chat a scomparsa ad altri interlocutori con cui abbiano avviato una chat tradizionale, col risultato che quei testi o quelle foto rimarranno per sempre memorizzati nella seconda. Allo stesso modo, se rispondiamo a un messaggio a scomparsa, il messaggio citato non scomparirà nello stesso momento di quello iniziale. Insomma le deadline settimanali si applicheranno a ogni singolo contenuto e salteranno del tutto quando questo venga girato a chat “normali”.

Stesso discorso per gli screenshot o per i salvataggi automatici dei contenuti multimediali nella galleria dello smartphone, che continueranno a funzionare anche con quelli a scomparsa nel caso la funzionalità sia attivata. Così come per i backup, per esempio su iCloud di Apple: tutto verrà messo in salvo, anche se dovrebbero poi sparire in caso di un ripristino dal salvataggio. Questo aspetto si capirà meglio nel corso delle settimane. Altro elemento a cui fare attenzione sta nei tempi di lettura: il conto alla rovescia di un messaggio partirà dal momento dell’invio. Punto. Se per assurdo dopo una settimana non lo avrete ancora letto, lo perderete definitivamente. “Il modo in cui il sistema è progettato è proprio quello di dare a chi invia la certezza che dopo sette giorni il messaggio verrà cancellato – ha aggiunto un portavoce – per questo sparirà comunque, che sia stato letto o che sia che sia ancora da visualizzare”.

Fra le altre novità appena annunciate da WhatsApp c’è un nuovo sistema di memorizzazione dei contenuti, per evitare di appesantire lo smartphone con foto gif e altri file particolarmente molesti, e nuovi strumenti per chi fa business con la chat. Molte altre ne arriveranno nei prossimi mesi, in un lento ma inesorabile processo di mutazione della chat più usata del mondo.

 

Fonte: Repubblica Tecnologia

E-mail, WhatsApp e la privacy degli utenti: le misure di sicurezza e i fronti critici

A quasi due anni dalla piena operatività delle disposizioni del GDPR, alcuni strumenti di trattamento dati vengono spesso sottovalutati in un’ottica di compliance: nello specifico, nell’utilizzo di account mail e servizi di messaggistica istantanea come WhatsApp, il trattamento dati svolto per proprio conto dai fornitori di tali servizi non sempre viene gestito in maniera adeguata, esponendosi a violazioni e sanzioni e con pesanti ripercussioni sulla privacy degli utenti.

L’esternalizzazione del trattamento

Affidare un determinato servizio ad un soggetto terzo, può spesso implicare anche una esternalizzazione del trattamento di dati personali.

In un’ottica di responsabilizzazione e consapevolezza, il titolare del trattamento è tenuto ad avere una visione chiara del flusso dei trattamenti e di tutti i soggetti che a vario titolo sono in esso coinvolti.

Laddove il trattamento svolto dal fornitore rientri nello schema titolare/responsabile, conformemente a quanto previsto dall’art. 28 del GDPR, sarà necessario predisporre o verificare l’esistenza di un contratto o altro atto giuridico che stabilisca le responsabilità a carico del fornitore, disciplinando in concreto la raccolta, l’elaborazione, l’utilizzo e la conservazione di dati personali che gli vengono affidati, così come i vincoli connessi a tali trattamenti.

Tale accordo volto a regolare i rapporti tra titolare e responsabile è uno dei punti cardine del GDPR e del principio di accountability. Esso dimostra infatti che il titolare ha posto in essere una scelta ponderata e consapevole, imponendo al fornitore che effettui trattamenti per proprio conto una serie di obblighi e garanzie volti a tutelare la sicurezza dei dati e i diritti degli interessati.

In linea di massima, tale atto dovrebbe prendere forma su iniziativa del titolare, in quanto è tale soggetto che conosce le specifiche dei trattamenti e che ne analizza i rischi connessi, senza tralasciare infine che è in capo ad egli che permangono tutte le responsabilità. È però altrettanto vero che in molti casi il titolare si trova in una posizione di svantaggio rispetto al fornitore/responsabile.

I rapporti di forza contrattuali non sempre riflettono la relazione gerarchica prevista dalla normativa sui dati personali e il titolare si trova in diversi casi ad avere un potere contrattuale decisamente inferiore al responsabile.

È difficile pensare che una realtà aziendale che opera a livello nazionale o addirittura internazionale con un enorme quantitativo di clienti possa analizzare e siglare singoli accordi in termini di trattamento di dati personali svolti per conto dei clienti, con ognuno di essi.

In queste ipotesi è sicuramente più probabile che sia il fornitore a predisporre un Data Protection Agreement (DPA) in cui riconosce il suo ruolo di responsabile e comunica al cliente/titolare i propri obblighi e tutte le garanzie offerte.

Sarà dunque interesse del cliente/titolare verificare innanzitutto l’esistenza di tale DPA, valutandone poi il contenuto per capire se le garanzie offerte rispondano alle esigenze della propria specifica realtà organizzativa e, eventualmente, confrontandole con quelle offerte da altri fornitori.

Account di posta elettronica

Sul fatto che i fornitori di servizi di posta elettronica trattino dati personali in qualità di responsabili del trattamento non ci sono dubbi, lo stesso Garante lo ha ribadito in precedenti provvediment. Nonostante questo, però nell’utilizzo di tale strumento non sempre viene prestata la dovuta attenzione.

Tra le imprese e i professionisti sono ancora numerosi coloro che si avvalgono di account mail di tipo gratuito violando di fatto le disposizioni del GDPR in materia. I provider gratuiti, infatti, non consentono a chi li utilizza di soddisfare il principio di accountability per diversi motivi.

Da un lato, non tutti garantiscono un adeguato livello di controllo sulla sicurezza. In taluni casi non c’è neanche la garanzia che i dati ricavati dalle e-mail non vengano utilizzati per scopi di profilazione, o addirittura la possibilità che, in caso di inattività prolungata, la casella venga disattivata e i messaggi in essa contenuti eliminati.

Dall’altro, trattandosi di servizi pensati per utenti privati – e in quanto tali non soggetti alle disposizioni del GDPR – il fornitore non è tenuto a riconoscere nessun ruolo di responsabile del trattamento e tutti gli obblighi che da tale ruolo derivano e, conseguentemente, non esiste alcun DPA a cui poter fare riferimento. E appare ancora più difficile l’ipotesi di poter negoziare singolarmente con il fornitore del servizio di posta elettronica un accordo ex art.28.

Prendiamo ad esempio il caso di Google che propone due tipologie di account: uno gratuito e uno pensato per gli utenti business (in abbinamento al servizio cloud). Sebbene anche nel caso di account mail gratuito le misure di sicurezza offerte potrebbero in taluni casi anche essere considerate adeguate in termini di protezione da accessi non autorizzati e da alterazione, divulgazione e distruzione non autorizzate (crittografia, controllo di sicurezza, verifica a due passaggi ecc.), nulla viene esplicitato in termini di gestione e comunicazione dei data breach, eventuale ricorso a sub-responsabili, e così via.

E questo non per una mancanza di Google, ma per il semplice fatto che l’utilizzo di gmail non è pensato per utenti titolari del trattamento soggetti all’applicazione del Regolamento europeo.

Se consideriamo invece Gsuite, account mail di Google in versione business, la situazione è nettamente diversa. In questo caso, infatti, Google prevede un DPA in cui riconosce il suo ruolo di responsabile del trattamento e tutte le specifiche sul trattamento dati e le garanzie richieste dall’art.28: finalità del trattamento, modalità di cancellazione dei dati, sicurezza dei dati, notifica di eventuali violazioni dati e relative informazioni fornite, assistenza nello svolgimento della valutazione d’impatto, garanzie nel caso in cui a sub-responsabili, trasferimento dati e via dicendo.

Le misure di sicurezza, inoltre, sono ulteriormente approfondite nell’Appendix 2, fornendo informazioni dettagliate a riguardo, consentendo in questo modo al cliente/titolare di poter fare tutte le valutazioni del caso.

Alla luce di questo esempio, appare evidente che la scelta del provider di posta elettronica non può essere casuale, ma deve necessariamente tener conto dell’utilizzo aziendale a cui è destinato e della necessità di soddisfare i requisiti del Regolamento, art.28 in primis. Gsuite, ovviamente, è solo una delle possibilità.

Diversi sono infatti i fornitori (ad esempio Aruba, Microsoft ecc.) che prevedono account mail in versione business in grado di offrire una serie di strumenti che consentono al titolare di amministrare centralmente l’account, consentendogli di esercitare il proprio controllo e applicare, laddove necessario, misure di mitigazione come disabilitare gli accessi, cancellare i dati salvati e così via.

Si tratta solo di individuare il servizio che meglio risponda alle proprie esigenze, ma sempre e comunque nel rispetto del Regolamento.

WhatsApp e la privacy degli utenti

Le applicazioni di messaggistica istantanea come WhatsApp sono nate principalmente per un uso personale. Nel corso del tempo, però, questa modalità di comunicazione si è sempre più affermata anche tra imprese e professionisti.

Laddove si intenda utilizzare questi strumenti per interagire con i propri clienti e fornitori o per comunicare con i propri dipendenti e collaboratori è però indispensabile considerare e rispettare i principi del GDPR.

Il trattamento dati svolto per proprio conto dai fornitori dei servizi di messaggistica istantanea, pertanto, dovrà necessariamente soddisfare i requisiti del Regolamento, art.28 in primis.

Come nel caso degli account di posta elettronica, la versione gratuita di WhatsApp, non offre le dovute garanzie e il suo utilizzo non può essere considerato GDPR compliant. Se da un lato l’utilizzo della cifratura end-to-end garantisce una certa sicurezza in termini di protezione dei dati in transito da eventuali attacchi di intercettazione, assicurando che solo il mittente e il destinatario abbiano le chiavi per poter aprire e leggere i messaggi, manca per il titolare la possibilità di esercitare un effettivo controllo sui dati, nonché l’accordo scritto che imponga al fornitore del servizio gli obblighi richiesti dall’art. 28.

Accordo che invece è stato predisposto per i servizi di WhatsApp Business. In questo caso, infatti, vengono individuati all’interno del documento Termini per il trattamento dei dati di WhatsApp Business gli obblighi di WhatsApp in qualità di responsabile del trattamento.

In tale documento, la società che fa capo a Facebook, riconosce tra i suoi obblighi:

• implementazione di misure tecniche e organizzative adeguate alla protezione dei dati;
• notifica senza ingiustificato ritardo di eventuali data breach;
• assistenza all’utente per dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
• assistenza nel garantire gli obblighi di cui agli articoli da 32 a 36 del GDPR;
• disponibilità a mettere a disposizione – dietro richiesta – tutte le informazioni ragionevolmente necessarie per dimostrare la conformità di WhatsApp ai suoi obblighi legali in qualità di responsabile del trattamento;
• rispetto della normativa nell’affidamento dei propri obblighi ad altri responsabili del trattamento, mediante accordo scritto che imponga agli altri responsabili i medesimi obblighi gravanti su WhatsApp;
• trasferimento dei dati personali sulla base dello Scudo UE-USA e delle clausole contrattuali standard approvate dalla Commissione Europea.

Conclusioni

Alla luce del principio di accountability che sta alla base della normativa che disciplina il trattamento di dati personali, la scelta dei fornitori deve necessariamente tener conto dei processi aziendali coinvolti e dei flussi di dati ad essi connessi, prestando particolare attenzione alla disciplina dei rapporti con i soggetti che ne prendono parte.

Il fornitore che tratta i dati personali per conto del cliente/titolare, dovrà essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.

Non dimentichiamoci, infatti, che il titolare del trattamento risponde in prima persona della gestione effettuata dal responsabile e, proprio per questo, è di assoluta importanza ricorrere a responsabili che prestino garanzie sufficienti per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del GDPR, e che soprattutto rispondano alle specifiche esigenze del titolare emerse in sede di valutazione del rischio del trattamento, considerando anche l’eventuale intervento di responsabili.

Un fornitore che non rispetti il GDPR o che non offra adeguate garanzie e supporto in termini di misure di sicurezza, gestione dei data breach e delle richieste di esercizio dei diritti da parte degli interessati, trasferimenti dei dati all’estero può mettere in pericolo la sicurezza dei processi di trattamento dei dati personali, oltre ad esporre il committente a pesanti sanzioni a prescindere dal verificarsi di un danno effettivo per la privacy degli interessati.

Partendo dal presupposto che qualsiasi trattamento di dati personali, indipendentemente dallo strumento che si utilizza, è soggetto alla normativa sui dati personali, appare pertanto fondamentale assicurarsi di utilizzare strumenti di trattamento dati che siano pensati per un’utenza business e che prevedano il trattamento dei dati personali per conto del cliente/titolare in qualità di responsabile.

 

Fonte: CyberSecurity360

Numeri di WhatsApp su Google, scoperto un bug che mette a rischio la nostra privacy

Sono circa 300 mila i numeri di telefono associati ad altrettanti account WhatsApp di ignari utenti finiti in chiaro su Google a causa di un bug individuato nella funzione “Clicca per chattare” dell’app di messaggistica istantanea.

Lo strumento “Clicca per chattare”, in particolare, è uno dei meno conosciuti dell’app di messaggistica istantanea ma molto utilizzato dalle piccole e microimprese di tutto il mondo per connettersi con i propri clienti attraverso i siti Web aziendali. Consente, infatti, di aggiungere un pulsante nelle pagine dei siti attraverso il quale gli utenti possono avviare una conversazione con i gestori dei siti stessi tramite il servizio di messaggistica.

La falla di sicurezza è stata individuata dal ricercatore di sicurezza indipendente e cacciatore di bug Athul Jayaram e potrebbe aprire la porta a ogni sorta di truffe e cyber attacchi ai danni degli intestatari dei numeri di telefono indicizzati da Google.

Si tratta, dunque, di un altro pericoloso bug scoperto a poca distanza di tempo da quello che consentiva il furto di account WhatsApp mediante finti SMS inviati da contatti presenti in rubrica.

I dettagli del bug

Il bug è stato prontamente segnalato prima a Facebook (proprietaria di WhatsApp) nell’ambito del programma “Bug-bounty Program” che prevede una ricompensa monetaria per tutti coloro che scoprono un bug nella piattaforma di social network e successivamente agli stessi sviluppatori di WhatsApp, che però hanno risposto di essere al corrente di quella che non ritengono essere una falla di sicurezza in quanto una eventuale ricerca su Google mostrerebbe solo informazioni che gli utenti stessi hanno deciso di rendere pubbliche attraverso le pagine dei loro stessi siti Web.

In realtà, i numeri degli utenti finiti in chiaro nelle pagine di ricerca di Google sono stati esposti dal dominio wa.me di proprietà di WhatsApp che memorizza in una stringa di URL del tipo visto precedentemente proprio i metadati raccolti dalla funzione “Clicca per chattare”.

I gestori del dominio wa.me, infatti, non hanno previsto nella directory principale del sito alcun file di testo contenente le regole che bloccano o consentono l’accesso di un determinato crawler (software che analizza automaticamente i contenuti di una rete, di un database o di un sito Web in genere per conto di un motore di ricerca) a un percorso di file specificato nel sito web in questione.

Questa grossolana mancanza consente proprio a Google e agli altri motori di ricerca di indicizzare tutti i contenuti che puntano a questo dominio, compreso quindi i numeri telefonici associati a WhatsApp e utilizzati mediante la funzione “Clicca per chattare” e per questo motivo i numeri di 300 mila ignari utenti sono finiti nei risultati della ricerca pubblica.

Purtroppo i numeri di cellulare sono visibili in chiaro nelle URL associate al dominio wa.me e chiunque se ne impadronisca può quindi conoscere il numero di cellulare dell’utente. E purtroppo non è possibile revocarlo.

Inoltre, un clic sull’URL non rivela il nome dell’utente associato all’utente WhatsApp (ricordiamo che l’app identifica gli utenti in base ai numeri di telefono e non dal loro username come avviane ad esempio nelle mailbox), ma la sua immagine del profilo.

Partendo da questa, un attaccante determinato potrebbe effettuare una ricerca per immagini e raccogliere abbastanza indizi online (ad esempio sui social network) per stabilire l’identità dell’utente e sfruttare poi queste preziose informazioni per compiere truffe mirate oppure venderle a marketer, spammer e truffatori.

Come scoprirlo?

In attesa che il bug venga corretto o quantomeno che WhatsApp intervenga per impedire l’indicizzazione in chiaro dei numeri di telefono archiviati sul dominio wa.me, è possibile effettuare una semplice verifica per scongiurare che il nostro numero sia liberamente accessibile online:

• basta collegarsi, innanzitutto, alla home page di Google e, nella barra di ricerca, si scrive la stringa site:wa.me seguita dal numero di telefono secondo lo schema: site:wa.me +39 123 456 7890;

• se dovesse comparire un risultato, vorrebbe dire che il numero di telefono è stato esposto online. Ovviamente, in questo caso, non ci sarebbe alcun problema di violazione della privacy qualora avessimo deciso di usare il servizio “Clicca per chattare” di WhatsApp per consentire agli utenti di contattare più facilmente noi o la nostra azienda.

 

Fonte: Cybersecurity360

Vulnerabilità in WhatsApp, basta una GIF per rubare dati dallo smartphone

WhatsApp per Android ha una vulnerabilità critica di tipo Double-free (“a doppia liberazione di memoria”) che, se sfruttata con successo, potrebbe consentire ai criminal hacker di compromettere i dispositivi Android, prenderne il controllo e rubare file e messaggi di chat semplicemente inviando un’immagine GIF contenente un codice di payload malevolo.

I dettagli della vulnerabilità in WhatsApp per Android

La vulnerabilità non risiede nel codice sorgente di WhatsApp ma in una libreria open source utilizzata dalla Galleria di WhatsApp ed in particolare nel modo in cui l’app genera un’anteprima per i file multimediali come immagini, video e GIF (che tra l’altro rappresentano uno dei contenuti più condivisi dagli utenti non solo su WhatsApp).

In particolari condizioni d’uso, il difetto di sicurezza causa una corruzione della memoria dello smartphone mandandolo in crash oppure, come nel caso di WhatsApp, consentendo ai criminal hacker di ottenere l’accesso al dispositivo con privilegi utente elevati.

La caratteristica di questa particolare vulnerabilità Double-free è dunque quella di consentire ai criminal hacker di sfruttare sia un exploit di tipo RCE (Remote Code Execution) per l’esecuzione del payload malevolo sia di tipo PoE (Privilege Escalation) nel contesto del processo di esecuzione di WhatsApp e quindi con i permessi che l’applicazione ha sul dispositivo.

In questo modo, il payload malevolo ha tutti i permessi di accesso in lettura e scrittura alla memoria dello smartphone (sia quella interna sia quella esterna su SD card) e al database dei messaggi. E avrà anche tutte le autorizzazioni già concesse a WhatsApp dall’utente, inclusa la registrazione audio, l’accesso alla telecamera, l’accesso al file system, alla sandbox stessa dell’app e così via.

Per sfruttare questa vulnerabilità, un aggressore non deve fare altro che inviare un’immagine in formato GIF sul dispositivo Android della vittima utilizzando qualsiasi canale di comunicazione (quindi non necessariamente la chat di WhatsApp) e attendere che l’utente semplicemente apra la Galleria dell’app di messaggistica per condividere un qualsiasi contenuto con un amico.

Infatti, poiché il bug risiede nella libreria usata da WhatsApp per mostrare l’anteprima dei file multimediali, l’utente non deve inviare nulla perché la semplice apertura della Galleria di WhatsApp nella quale adesso è memorizzata anche la GIF malevola inviata dai criminal hacker (e usata quindi come grimaldello) innescherà automaticamente la vulnerabilità.

Da questo momento, l’aggressore riesce a stabilire un collegamento diretto con il dispositivo della vittima e a prenderne il controllo.

L’unica accortezza che gli aggressori devono seguire, qualora decidessero di inviare la GIF alle loro vittime sfruttando una piattaforma di messaggistica come WhatsApp o Messenger, è quella di condividerla come documento e non come file multimediale: l’algoritmo di compressione delle immagini utilizzato dalle app di messaggistica per velocizzare la condivisione di questo tipo di file, infatti, potrebbe danneggiare il payload nascosto nell’immagine e quindi impedire di fatto lo sfruttamento della vulnerabilità.

Ecco come correggere la vulnerabilità

La vulnerabilità interessa la versione 2.19.230 di WhatsApp e le precedenti in esecuzione su Android 8.1 e 9.0, mentre non è possibile innescarla su Android 8.0 e su release inferiori del sistema operativo mobile di Google in quanto il dispositivo si bloccherebbe prima che venga eseguito il payload malevolo per una diversa gestione delle chiamate alle librerie di sistema.

La vulnerabilità è stata segnalata a Facebook, proprietaria di WhatsApp, alla fine di luglio di quest’anno ma l’azienda ha incluso una patch di sicurezza soltanto nella versione 2.19.244 dell’app rilasciata a settembre.

Per proteggersi da questa vulnerabilità e mettere in sicurezza lo smartphone è dunque necessario aggiornare WhatsApp il prima possibile all’ultima versione disponibile su Google Play.

Tuttavia, poiché la vulnerabilità risiede in una libreria open source, è possibile che anche altre applicazioni Android siano esposte ad attacchi simili. Per questo motivo, lo sviluppatore della libreria interessata, chiamata Android GIF Drawable, ha rilasciato a sua volta la versione 1.2.18 che corregge la vulnerabilità Double-free.

WhatsApp per iOS non è, ovviamente, interessato da questa vulnerabilità.