I file multimediali di WhatsApp e Telegram potrebbero essere esposti a rischi e manipolati da malintenzionati: a svelarlo è una nuova ricerca condotta dal team Modern OS Security di Symantec, il cui lavoro è focalizzato sulla protezione degli endpoint e dei sistemi operativi mobili.
La falla nella sicurezza è soprannominata “Media File Jacking” e riguarda, spiega il team di Symantec, WhatsApp per Android di default e anche Telegram per Android se determinate funzionalità sono abilitate.
Le app Android, spiegano gli esperti di Symantec, possono memorizzare file e dati in due posizioni di storage: interna ed esterna. I file salvati nella memoria interna sono accessibili solo dall’app stessa, mentre quelli memorizzati in una directory pubblica sullo storage esterno sono “world-readable/writeable”, possono cioè essere modificati da altre app o utenti, al di fuori del controllo dell’app.
Di default, prosegue la spiegazione di Symantec, WhatsApp memorizza nella memoria esterna i file multimediali ricevuti da un dispositivo. Anche Telegram li archivia in una directory pubblica, se l’utente abilita l’opzione “Salva nella galleria”. Le app caricano i file multimediali ricevuti dalle directory pubbliche, affinché gli utenti possano visualizzarli nell’interfaccia della chat.
Il fatto che i file siano archiviati e caricati dalla memoria esterna, senza meccanismi di sicurezza adeguati, consente alle altre app con permessi di scrittura sullo storage esterno di compromettere l’integrità dei file multimediali.
La vulnerabilità si cela nel lasso di tempo che intercorre tra il momento in cui i file multimediali ricevuti tramite le app vengono salvati sullo storage e quello in cui essi vengono caricati nell’interfaccia utente della chat (UI) delle app. Questo intervallo di tempo diventa critico, perché rappresenta, per soggetti malintenzionati, un’opportunità di fare un uso improprio dei file multimediali e manipolarli, senza che l’utente ne sia a conoscenza.
Se venisse sfruttata questa vulnerabilità, un utente malintenzionato potrebbe utilizzare o manipolare informazioni riservate quali foto e video personali, documenti aziendali e così via. Un attacco potrebbe avere effetti ancora più gravi considerando il livello di fiducia esistente tra mittente e destinatario in una app di messaggistica.
Gli utenti delle app di istant messaging hanno la possibilità di mitigare questo rischio disattivando la funzione che salva i file multimediali nella memoria esterna.
Sul blog di Symantec, nell’articolo relativo alla vulnerabilità Media File Jacking, raggiungibile a questo link, gli esperti di sicurezza mobile dell’azienda spiegano nel dettaglio cosa fare per mitigare i rischi, qual è il background tecnico della falla e il suo potenziale impatto (con esempi anche video) e cosa possono fare gli sviluppatori Android per una maggiore protezione.