Articoli

20120119-224241.jpg

Emanuele Gentili e Stefano Fratepietro hanno appena reso disponibile uno script in grado di sfruttare l’exploit scoperto da G. Wagner che affliggeva tutte le versioni di WhatsApp per iPhone antecedenti o medesime alla versione 2.6.7! L’exploit permetterebbe ad un malintenzionato di cambiare a proprio piacimento lo stato di un utente collegato al famoso software di scambio messaggi.

Sarebbe pertanto possibile rendere “Occupato” o “Disponibile” un qualsiasi utente oppure inserire uno stato personalizzato con messaggi offensivi.

Ecco svelato pertanto la misteriosa scomparsa dall’Apple Store di WhatsApp per più di una settimana, l’azienda ha provveduto ad eliminare l’applicativo dal famosissimo store per poter procedere ad un tempestivo Fix attraverso la versione 2.6.9 disponibile dal 17 Gennaio 2012.

Lo script in grado di sfruttare questo exploit è reperibile al seguente link: http://emanuelegentili.eu/WhatsApp-exp.sh

Consigliamo pertanto a tutti gli utenti di aggiornare WhatsApp dal proprio iPhone!

Il Cross Application scripting (CAS) è una vulnerabilità che affligge applicazioni desktop che impiegano un insufficiente controllo dell’input. Un CAS permette ad un attaccante di inserire codice al fine di modificare il contenuto di una applicazione desktop utilizzata. In questo modo si potranno sottrarre dati sensibili presenti nel sistema degli utenti. Gli attacchi alle vulnerabilità CAS hanno effetti dirompenti perche’ possono implicare la completa compromissione dei target indipendentemente da sistemi operativi e piattaforme.

Scoperta inizialmente da Emanuele Gentili e presentata insieme ad altri due ricercatori, che hanno partecipato allo studio della tecnica e alle sue applicazioni, Emanuele Acri ed Alessandro Scoscia durante il Security Summit 2010 di Milano, questa nuova categoria di attacco e’ risultata vincente su prodotti di note software house commerciali ed open source.

Continua a leggere