Mandare in crash WhatsApp inviando migliaia di emoji

Cosa è successo

Un ricercatore indipendente, Indrajeet Bhuyan, ha segnalato a The Hacker News un bug in WhatsApp che permette a chiunque di far crashare l’app semplicemente inviando al bersaglio quasi 4.000 emoji in un unico messaggio. Il problema interessa sia WhatsApp per dispositivi Android (tra cui versioni come Marshmallow, Lollipop e KitKat, secondo i test riportati) sia WhatsApp Web su browser come Chrome, Opera e Firefox.

Bhuyan aveva già scoperto in passato un altro crash simile che sfruttava un messaggio di testo contenente 2.000 parole nel set di caratteri speciale. In quel caso WhatsApp intervenne imponendo limiti sui caratteri dei messaggi di testo, ma non pare aver applicato limiti equivalenti agli emoji, rendendo possibile questo nuovo crash.

Come funziona il bug (spiegazione tecnica breve)

Termine chiave: buffer overflow — quando un programma riceve più dati di quelli che può gestire in una zona di memoria, il comportamento può diventare imprevedibile o portare al blocco dell’app.

Secondo il ricercatore, WhatsApp Web permette decine di migliaia di caratteri complessivi, ma inserendo circa 4.200–4.400 emoji il browser inizia a rallentare. Poiché il controllo del limite per gli emoji non sembra scattare, l’app continua ad accettare inserimenti fino a che, al momento della ricezione, viene sovraccaricato un buffer e l’app crasha.

Piattaforme e versioni interessate

• WhatsApp per Android: segnalato su dispositivi con Marshmallow, Lollipop e KitKat.
• WhatsApp Web: segnalato su Chrome, Opera e Firefox.

Nota: le condizioni esatte possono variare tra versioni dell’app e aggiornamenti del browser. Non ci sono prove che il problema richieda un messaggio con codice malevolo — basta un gran numero di emoji.

Dimostrazione e prova di concetto

Il ricercatore ha pubblicato una dimostrazione video: https://youtu.be/hEMD5y3WGt4

Importante: non riprodurre l’attacco su account reali o senza autorizzazione altrui. Far crashare l’app di un’altra persona può causare perdita di dati e potrebbe avere implicazioni legali.

Come difendersi immediatamente

1. Aggiorna WhatsApp all’ultima versione disponibile tramite Google Play Store o App Store. Gli aggiornamenti spesso includono patch di sicurezza.
2. Se ricevi un messaggio sospetto contenente moltissimi emoji, non aprire il messaggio nella vista conversazione. Elimina la conversazione direttamente dalla lista chat quando possibile.
   • Android: tieni premuto sulla conversazione nella lista chat e scegli “Elimina chat” o “Elimina”; in questo modo non apri il messaggio.
   • iPhone: scorri la conversazione verso sinistra > Altro > Elimina chat.
3. Blocca il mittente che ti ha inviato il messaggio.
4. Esegui backup delle chat prima di eliminare se vuoi conservare alcuni messaggi: Impostazioni > Chat > Backup delle chat.
5. Evita di aprire messaggi di mittenti sconosciuti o sospetti.

Nota: eliminando la conversazione perderai anche le parti legittime della chat con quel contatto se non le hai salvate o eseguito il backup.

Cosa fare se WhatsApp è già crashato

• Riavvia il dispositivo. A volte il riavvio risolve il blocco momentaneo.
• Accedi a WhatsApp da un altro dispositivo (se possibile) o ripristina un backup precedente per recuperare messaggi salvati.
• Se non riesci ad aprire WhatsApp Web perché il browser si blocca, chiudi la scheda o il browser e prova ad aprire WhatsApp Web da un browser aggiornato o da un altro dispositivo.

Esempi di contesti in cui l’attacco fallisce

• Se l’app è aggiornata con una patch che impone limiti anche agli emoji, l’attacco non funzionerà.
• Se il mittente è bloccato preventivamente, non può inviare messaggi al destinatario.
• Se il client non tenta di renderizzare tutti gli emoji in una sola volta (ad es. fallback a un segnaposto o raggruppamento), l’impatto potrebbe essere ridotto.

Migliori pratiche per gli amministratori IT e per gli utenti avanzati

• Applicare aggiornamenti di sicurezza su dispositivi gestiti non appena disponibili.
• Comunicare agli utenti aziendali di non aprire messaggi sospetti e di segnalare incidenti al team IT.
• Considerare regole di filtraggio o policy BYOD che limitino l’uso di client non aggiornati.

Checklist rapida per l’utente

• Aggiorna WhatsApp subito.
• Se ricevi molti emoji, non aprire il messaggio.
• Elimina la conversazione dalla lista chat.
• Blocca il mittente.
• Esegui backup regolari delle chat.

Domande frequenti

Q: Questo bug compromette i dati personali? A: Il bug causa principalmente il crash dell’app. Il rischio principale è la perdita di messaggi non salvati se si elimina la chat per rimuovere il messaggio malevolo. Non ci sono prove pubbliche che il bug fornisca accesso ai dati a terzi.

Q: Posso riprodurre l’attacco su un mio account per testare? A: Non è consigliabile provare l’attacco su account reali: potresti perdere dati o causare disservizi. Esegui test solo in ambienti controllati e autorizzati.

Q: Quando verrà pubblicata una patch ufficiale? A: Non è noto esattamente quando Facebook/Meta rilascerà una correzione. La difesa migliore è aggiornare l’app e seguire le contromisure descritte.

Riepilogo

• Inviare circa 4.000 emoji può far crashare WhatsApp su alcune versioni Android e su WhatsApp Web.
• Aggiorna l’app, elimina la conversazione senza aprirla e blocca il mittente per limitare il rischio.
• Esegui backup regolari delle chat e informa contatti e team IT se sei responsabile di dispositivi gestiti.

Note: evita di condividere o sfruttare vulnerabilità contro terze parti. Segnala problemi di sicurezza direttamente a WhatsApp/Meta seguendo i canali ufficiali.