Il team di Symantec scopre una falla in WhatsApp e in Telegram, che permetterebbe ad app malevole di accedere ai dati altrui, modificarli e appropriarsene. La falla di sicurezza battezzata Media File Jacking, sfrutta il lasso di tempo che intercorre tra il momento in cui il file multimediale viene ricevuto (ad esempio un’immagine o un video) nonché memorizzato e l’istante in cui viene caricato dall’app di messaggistica ed effettivamente mostrato all’utente.
Se la vulnerabilità dovesse essere sfruttata, gli aggressori potrebbero ad esempio alterare le informazioni mostrate in WhatsApp e Telegram, compresi documenti e note vocali.
Secondo Symantec il problema legato al Media File Jacking desta preoccupazione perché gli utenti si sentono normalmente protetti dall’utilizzo degli algoritmi di cifratura end-to-end. Quali sono i rischi di privacy, dato che WhatsApp è sempre più usato nel rapporto tra medici e pazienti ? Quando si parla di sicurezza dei dati e riservatezza delle informazioni personali e sensibili, viene spesso trascurato l’aspetto legato alla memorizzazione e alla gestione delle stesse informazioni sul dispositivo locale.
Il 50% delle app Android oggi esistenti utilizza il permesso WRITE_EXTERNAL_STORAGE: ciò significa che un’applicazione Android su due può leggere e modificare i dati di qualunque altra applicazione installata, sempre che essa memorizzi i suoi file nella cartella emulated o comunque in una memoria esterna.
Un’app malevola, ugualmente presente sul dispositivo Android, può quindi impossessarsi dei file multimediali e dei documenti altrui oppure modificarli in tempo reale, facendo sì che il destinatario del messaggio veda qualcosa di ben diverso rispetto a ciò che il mittente aveva trasmesso. Addirittura, un malintenzionato potrebbe modificare istantaneamente il contenuto di un documento modificando, per esempio, le coordinate bancarie. Gli sviluppatori potrebbero inserire un metodo di verifica degli hash dei file (in modo tale da verificare che i file mostrati agli utenti siano gli stessi effettivamente trasmessi dal mittente), prevedere la conservazione dei dati nella memoria interna del dispositivo Android e soprattutto crittografare non soltanto le informazioni in transito ma anche quelle memorizzate in locale. L’utente ne guadagnerebbe enormemente in termini di sicurezza e privacy.