WhatsApp: vulnerabilità risolta e multa per violazione del GDPR

WhatsApp ha chiuso una vulnerabilità che avrebbe potuto portare all'esposizione di dati sensibili. Una buona notizia, oscurata dalla multa da 225 milioni di euro comminata dall' Edpb irlandese.

Vulnerabilità Normative

La funzione filtro delle immagini di WhatsApp era affetta da un bug, ormai risolto, che avrebbe potuto esporre i dati sensibili degli utenti. Il retroscena è stato rivelato dai ricercatori di Check Point Research, autori della scoperta della falla.

Il problema si manifestava applicando dei filtri specifici a un'immagine e inviandola successivamente. Partendo dal principio, i filtri per le immagini di WhatsApp vengono usati per apportare effetti visivi alle immagini, quali per esempio la sfocatura.

Se si "gioca" troppo con i filtri di una GIF, passando velocemente da uno all'altro, si causa un crash dell'app di messaggistica. Come hanno scoperto i ricercatori, questo evento nefasto non è un banale blocco, ma una compromissione della memoria descritta come un problema di lettura e scrittura out-of-bounds.

Si tratta quindi di una vera e propria falla, a cui è stata associata la sigla CVE-2020-1910. Sfruttandola, un attaccante avrebbe potuto applicare dei filtri specifici a un'immagine appositamente creata, quindi inviarla con le modifiche.

Come detto la falla è stata chiusa: la correzione era inclusa nell'update alla versione 2.21.2.13 diffuso a febbraio. Nessuno di fatto si è accorto del problema, che è stato taciuto proprio per non dare spunti ai criminali informatici per sferrare attacchi su larga scala. Con oltre 2 miliardi di utentiattivi, infatti, WhatsApp è l'app di messaggistica più diffusa al mondo e viene impiegata quotidianamente per condividere 4,5 miliardi di foto e un miliardo di video.


Multa da 225 milioni di euro

Se quello del bug è stato un episodio ampiamente gestibile, non è altrettanto per la multa comminata all'azienda produttrice (Facebook, N.d.R.) dalla Commissione per la protezione dei dati (Dpc) dell'Irlanda (Paese dove la società ha la sua sede europea).

Ammonta a 225 milioni di euro ed è motivata dalla violazione del GDPR. Più in dettaglio, WhatsApp non avrebbe assolto gli obblighi di trasparenza nella modalità di raccolta e utilizzo dei dati personali degli utenti e nella relativa condivisione di tali informazioni con Facebook.

La denuncia era stata depositata dal Comitato europeo sulla protezione dei dati personali (Edpb), a seguito della quale a dicembre 2018 erano iniziate le indagini. La decisione è circostanziata da quelle che sono state definite "infrazioni di natura molto grave" agli obblighi di trasparenza a cui l'azienda è chiamata per legge.

Come da copione WhatsApp ha diffuso un comunicato ufficiale in cui definisce le sanzioni "sproporzionate" e annuncia il ricorso alla Corte Europea. Per completezza di cronaca riportiamo che, come riferiscono fonti di stampa, WhatsApp era stata informata delle infrazioni e aveva avuto tre mesi di tempo per conformare la propria comunicazione agli utenti alle disposizioni europee in materia di privacy.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori