Quando la propria reputazione dipende anche dalla velocità con cui si risolvono le falle di sicurezza, farsi strattonare pubblicamente da Google non è esattamente il massimo del glamour. Eppure Meta ci è riuscita, e ora finalmente ha corretto completamente quel bug di WhatsApp che aveva scoperto il team Project Zero di Google. Quello stesso bug che l’azienda di Zuckerberg non era riuscita a sistemare entro i canonici 90 giorni dalla segnalazione privata, guadagnandosi così la divulgazione pubblica della vulnerabilità e una figuraccia planetaria.

Falla WhatsApp corretta dopo mesi: Google costringe Meta ad agire

La falla era seria. Un hacker poteva aggiungere le vittime a gruppi WhatsApp usando una modalità specifica, poi inviare file multimediali che venivano scaricati automaticamente nel database MediaStore. Se l’allegato malevolo era costruito con sufficiente raffinatezza, poteva innescare operazioni dannose dentro quel database e, nel peggiore degli scenari, persino uscirne per colpire altre aree del sistema. Il classico attacco zero-click, contro cui l’utente non può fare nulla per difendersi.

A settembre Google Project Zero aveva segnalato privatamente il bug a Meta. Scadenza: 90 giorni, come da policy standard. Niente di personale, solo il tempo che si dà normalmente alle aziende per sistemare le cose prima di rendere tutto pubblico.

A novembre, Meta ha fornito una correzione, ma parziale. Quindi il problema è stato risolto solo a metà. A quel punto, Google ha reso noto il bug. Il mondo così ha scoperto che WhatsApp aveva una falla che permetteva intrusioni senza che l’utente facesse nulla.

La risoluzione, finalmente!

La pressione ha funzionato. Il bug è stato ora contrassegnato come risolto. Il ricercatore di sicurezza che l’aveva scoperto ha aggiornato la pratica confermando che Meta ha implementato con successo una correzione completa e ha anche individuato e risolto varianti del problema. Quindi, mentre sistemava il bug principale, ha trovato altre versioni dello stesso problema.

I dettagli tecnici della patch e di queste varianti rimangono sconosciuti, il che è normale per questioni di sicurezza, pubblicare troppi dettagli equivale a distribuire manuali d’istruzioni per potenziali hacker. Ma almeno sappiamo che la falla è stata tappata, e che Meta ha fatto il suo dovere. Con qualche mese di ritardo e solo dopo essere stata messa alla gogna.

Resta il fatto che un’azienda con le risorse di Meta dovrebbe essere in grado di correggere vulnerabilità critiche entro 90 giorni senza bisogno che qualcuno le renda pubbliche… Soprattutto quando si tratta di un’app usata da miliardi di persone che si fidano del fatto che le loro conversazioni siano sicure. Ma forse, a volte serve un po’ di imbarazzo pubblico per accelerare le cose.