Il ricercatore ha spiegato la vulnerabilità come un:
errore che riguardava la memoria nell’implementazione di videoconferenza non WebRTC di WhatsApp.
Ciò significa essenzialmente che il bug ha lasciato vulnerabili gli utenti di WhatsApp durante le videochiamate sull’app.
Natalie Silvanovich, ricercatrice del team di ricerca sulla sicurezza di Project Zero di Google, ha individuato per la prima volta la vulnerabilità di WhatsApp. In un bug report, la Silvanovich afferma:
Il danneggiamento dell’heap può verificarsi quando l’applicazione mobile WhatsApp riceve un pacchetto RTP non valido.
Il pacchetto non valido che attiva l’arresto potrebbe essere inviato tramite una richiesta di chiamata. Ha aggiunto la Silvanovich:
Questo problema può verificarsi quando un utente di WhatsApp accetta una chiamata da un peer malintenzionato.
Vale la pena ricordare che solo l’app WhatsApp su Android e iOS è stata interessata perché utilizza il protocollo di trasporto in tempo reale (RTP) per le videochiamate. Il client WhatsApp per Web non è stato interessato da questo problema poiché utilizza WebRTC per le videoconferenze.
Il bug è stato risolto il 28 settembre nel client Android di WhatsApp e il 3 ottobre nel client iPhone, come riferito dalla stessa Natalie Silvanovich. In seguito alla risoluzione del problema, è necessario eseguire l’aggiornamento alla versione più recente dell’app su Android e iOS.
