WhatsApp: Meta ha risolto un bug critico legato ai messaggi effimeri

WhatsApp è da tempo considerato uno dei servizi di messaggistica più sicuri sul mercato, grazie a funzionalità come la crittografia end-to-end, la verifica in due passaggi, le impostazioni di privacy per i gruppi e la possibilità di inviare media effimeri, ovvero quelli visualizzabili una sola volta. Tuttavia, proprio quest’ultima funzione è stata al centro di una nuova vulnerabilità scoperta di recente, che ha sollevato preoccupazioni sulla sicurezza della piattaforma.

Già a settembre 2023, il ricercatore di sicurezza Tal Be’ery aveva identificato un metodo per aggirare la limitazione dei media effimeri su WhatsApp Web, consentendo agli utenti di visualizzare e salvare i file che sarebbero dovuti scomparire immediatamente, visto che la funzione è progettata per funzionare solo sulle app Android e iOS. Il problema era stato risolto da Meta all’inizio di dicembre, ma una nuova falla è emersa nelle scorse settimane.

Questa volta, la vulnerabilità - attiva solo sulla versione iOS dell'app - permetteva ai destinatari di visualizzare indefinitamente i media effimeri anche dopo che erano stati aperti e chiusi nella chat. Come riportato dall’utente Ramshath in un post su Medium, Meta era a conoscenza del problema e stava lavorando a una soluzione, che sembra essere stata implementata durante lo scorso weekend.

Il meccanismo dell’exploit era relativamente semplice: dopo aver ricevuto un media effimeri e averlo visualizzato nella chat, l’utente poteva accedervi nuovamente recandosi in Impostazioni > Archiviazione e dati > Gestisci Spazio, selezionando il contatto che aveva inviato il file e ordinando i contenuti per "Più recenti". Il media effimero appariva in cima alla lista, pronto per essere visualizzato nuovamente.

Ora ciò non è più possibile e la conferma della correzione del bug arriva anche dal team di Android Police, il quale è riuscito a replicare la vulnerabilità internamente giovedì 23 gennaio, ma al momento non è più in grado di replicarla. Ciò sembra suggerire che Meta sia intervenuta lato server per correggere la vulnerabilità.

Nonostante la gravità del bug, Meta non ha ancora rilasciato una dichiarazione pubblica per riconoscere o commentare la vulnerabilità e, sebbene l'azienda abbia agito rapidamente per risolvere il problema, la mancanza di trasparenza pubblica lascia spazio a dubbi sulla gestione di queste criticità da parte di Meta.