Un nuovo bug critico su WhatsApp consente di ottenere il controllo di uno smartphone da una video chiamata

Redazione RHC : 28 Settembre 2022 07:55

WhatsApp ha pubblicato i dettagli di una vulnerabilità di sicurezza classificata come “critica” che colpisce la sua app Android e che potrebbe consentire agli aggressori di installare malware da remoto sullo smartphone di una vittima durante una videochiamata.

I dettagli del difetto, tracciato come CVE-2022-36934 hanno un grado di gravità assegnato pari a 9,8 su 10, ed è descritto da WhatsApp come un bug di integer overflow. 

Ciò accade quando un’app tenta di eseguire un processo di calcolo ma ha uno spazio di memoria limitato, causando la fuoriuscita dei dati e la sovrascrittura di altre parti della memoria del sistema con codice potenzialmente dannoso.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

WhatsApp non ha condiviso ulteriori dettagli sul bug. Ma la società di ricerca sulla sicurezza Malwarebytes ha affermato nella propria analisi tecnica che il bug si trova in un componente dell’app WhatsApp chiamato “Video Call Handler“, che se attivato consentirebbe a un utente malintenzionato di assumere il controllo completo dell’app di una vittima.

La buona notizia è che sembrerebbe che al momento non ci sono segnali di sfruttamento della minaccia.

La vulnerabilità della memoria di livello critico è simile a un bug del 2019 , che WhatsApp alla fine ha attribuito al produttore di spyware israeliano NSO Group nel 2019 per prendere di mira i telefoni di 1.400 vittime, inclusi giornalisti, difensori dei diritti umani e altri civili. 

L’attacco ha sfruttato un bug nella funzione della chiamata audio di WhatsApp che consentiva al chiamante di installare spyware sul dispositivo della vittima , indipendentemente dal fatto che la chiamata avesse ricevuto risposta.

WhatsApp ha anche divulgato questa settimana i dettagli di un’altra vulnerabilità, la CVE-2022-27492, classificata come “alta” in gravità in scala da 7,8 a 10, che potrebbe consentire agli hacker di eseguire codice dannoso sul dispositivo iOS di una vittima dopo aver inviato un file video.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli