WhatsApp viene utilizzato da oltre 2 miliardi di persone nel mondo, quindi è sicuramente uno dei bersagli preferiti dagli hacker che cercano di sfruttare eventuali vulnerabilità. Per offrire una maggiore trasparenza, l’azienda pubblicherà gli avvisi di sicurezza in una specifica pagina, ovviamente dopo aver rilasciato gli aggiornamenti per le app. Al momento sono elencate sei vulnerabilità scoperte nelle versioni per Android, iOS e desktop.
WhatsApp spiega che la sicurezza rappresenta la sua massima priorità. L’obiettivo è impedire l’accesso alle conversazioni da parte di malintenzionati. La crittografia end-to-end costituisce un importante barriera, ma potrebbero essere sfruttati eventuali bug software per effettuati attacchi mirati. Per questo motivo vengono eseguiti controlli frequenti (anche mediante tool automatici) per individuare e risolvere le vulnerabilità. Il lavoro viene svolto dal team interno e da società di terze parti. Anche i ricercatori esterni possono segnalare i problemi di sicurezza, ricevendo un premio in denaro.
Il bug verranno risolti nel minor tempo possibile. WhatsApp non pubblicherà nessun dettaglio finché non avrà sviluppato le patch e distribuito le nuove versioni delle app sui rispettivi store. Dato che non è possibile inserire l’elenco delle vulnerabilità nelle note di rilascio, gli utenti e i ricercatori di sicurezza troveranno l’elenco nella pagina dedicata.
WhatsApp utilizza numerose librerie di terze parti, per cui indicherà anche le loro vulnerabilità per consentire agli sviluppatori di effettuare i necessari aggiornamenti. A tale scopo, Facebook ha annunciato la nuova Vulnerability Disclosure Policy, in base alla quale l’azienda di Menlo Park concederà allo sviluppatore di terze parti 21 giorni di tempo per rispondere e 90 giorni di tempo per risolvere il problema di sicurezza. Queste scadenze potrebbero essere ridotte se la vulnerabilità è stata già sfruttata dagli hacker.