WhatsApp ha chiuso una vulnerabilità che avrebbe potuto portare all'esposizione di dati sensibili. Una buona notizia, oscurata dalla multa da 225 milioni di euro comminata dall' Edpb irlandese.
La funzione filtro delle immagini di WhatsApp era affetta da un bug, ormai risolto, che avrebbe potuto esporre i dati sensibili degli utenti. Il retroscena è stato rivelato dai ricercatori di Check Point Research, autori della scoperta della falla.
Il problema si manifestava applicando dei filtri specifici a un'immagine e inviandola successivamente. Partendo dal principio, i filtri per le immagini di WhatsApp vengono usati per apportare effetti visivi alle immagini, quali per esempio la sfocatura.
Se si "gioca" troppo con i filtri di una GIF, passando velocemente da uno all'altro, si causa un crash dell'app di messaggistica. Come hanno scoperto i ricercatori, questo evento nefasto non è un banale blocco, ma una compromissione della memoria descritta come un problema di lettura e scrittura out-of-bounds.
Si tratta quindi di una vera e propria falla, a cui è stata associata la sigla CVE-2020-1910. Sfruttandola, un attaccante avrebbe potuto applicare dei filtri specifici a un'immagine appositamente creata, quindi inviarla con le modifiche.
Come detto la falla è stata chiusa: la correzione era inclusa nell'update alla versione 2.21.2.13 diffuso a febbraio. Nessuno di fatto si è accorto del problema, che è stato taciuto proprio per non dare spunti ai criminali informatici per sferrare attacchi su larga scala. Con oltre 2 miliardi di utentiattivi, infatti, WhatsApp è l'app di messaggistica più diffusa al mondo e viene impiegata quotidianamente per condividere 4,5 miliardi di foto e un miliardo di video.
Se quello del bug è stato un episodio ampiamente gestibile, non è altrettanto per la multa comminata all'azienda produttrice (Facebook, N.d.R.) dalla Commissione per la protezione dei dati (Dpc) dell'Irlanda (Paese dove la società ha la sua sede europea).
Ammonta a 225 milioni di euro ed è motivata dalla violazione del GDPR. Più in dettaglio, WhatsApp non avrebbe assolto gli obblighi di trasparenza nella modalità di raccolta e utilizzo dei dati personali degli utenti e nella relativa condivisione di tali informazioni con Facebook.
La denuncia era stata depositata dal Comitato europeo sulla protezione dei dati personali (Edpb), a seguito della quale a dicembre 2018 erano iniziate le indagini. La decisione è circostanziata da quelle che sono state definite "infrazioni di natura molto grave" agli obblighi di trasparenza a cui l'azienda è chiamata per legge.
Come da copione WhatsApp ha diffuso un comunicato ufficiale in cui definisce le sanzioni "sproporzionate" e annuncia il ricorso alla Corte Europea. Per completezza di cronaca riportiamo che, come riferiscono fonti di stampa, WhatsApp era stata informata delle infrazioni e aveva avuto tre mesi di tempo per conformare la propria comunicazione agli utenti alle disposizioni europee in materia di privacy.