WhatsApp для Windows позволяет выполнять скрипты Python, PHP без предупреждения

Проблема безопасности в последней версии WhatsApp для Windows позволяет отправлять вложения на языках Python и PHP, которые выполняются без предупреждения, когда получатель открывает их.

Для успешной атаки необходимо, чтобы был установлен Python, что может ограничить круг целей разработчиками программного обеспечения, исследователями и опытными пользователями.

Проблема похожа на ту, что затронула Telegram для Windows в апреле, которая была первоначально отклонена, но позже исправлена, когда злоумышленники могли обойти предупреждения безопасности и выполнить удаленное выполнение кода при отправке файла Python .pyzw через клиент обмена сообщениями.

WhatsApp блокирует несколько типов файлов, считающихся опасными для пользователей, но компания сообщила BleepingComputer, что не планирует добавлять скрипты Python в этот список.

Дальнейшее тестирование BleepingComputer показало, что файлы PHP (.php) также не включены в список блокировки WhatsApp.

Скрипты Python, PHP не блокируются

Исследователь безопасности Саумяджит Дас обнаружил уязвимость, экспериментируя с типами файлов, которые можно прикреплять к беседам в WhatsApp, чтобы проверить, разрешает ли приложение какие-либо из рискованных типов.

При отправке потенциально опасного файла, например .EXE, WhatsApp показывает его и предлагает получателю два варианта: Открыть или Сохранить как.

Однако при попытке открыть файл WhatsApp for Windows выдает ошибку, оставляя пользователям лишь возможность сохранить файл на диск и запустить его оттуда.

В тестах BleepingComputer такое поведение было характерно для типов файлов .EXE, .COM, .SCR, .BAT и Perl, использующих клиент WhatsApp для Windows. Дас обнаружил, что WhatsApp также блокирует выполнение .DLL, .HTA и VBS.

При попытке запустить их прямо из приложения, нажав кнопку «Открыть», возникала ошибка. Запустить их можно было только после сохранения на диск.

В беседе с BleepingComputer Дас рассказал, что обнаружил три типа файлов, запуск которых клиент WhatsApp не блокирует: .PYZ (приложение Python ZIP), .PYZW (программа PyInstaller) и .EVTX (файл журнала событий Windows).

Тесты BleepingComputer подтвердили, что WhatsApp не блокирует выполнение файлов Python, и обнаружили, что то же самое происходит с PHP-скриптами.

Если все ресурсы присутствуют, получателю достаточно нажать кнопку «Открыть» на полученном файле, и скрипт запускается.

Дас сообщил о проблеме в Meta 3 июня, а компания ответила 15 июля, сказав, что о проблеме уже сообщал другой исследователь и она уже должна была быть исправлена.

Когда исследователь связался с BleepingComputer, ошибка все еще присутствовала в последней версии WhatsApp для Windows, и мы смогли воспроизвести ее на Windows 11, v2.2428.10.0.

«Я сообщил об этой проблеме в Meta через их программу bug bounty, но, к сожалению, они закрыли ее как N/A. Это разочаровывает, так как это простой недостаток, который можно легко устранить», - пояснил исследователь.

BleepingComputer обратился в WhatsApp за разъяснениями о причинах отклонения отчета исследователя, и представитель компании объяснил, что они не видят в этом проблемы со своей стороны, поэтому исправление не планируется:

«Мы ознакомились с предложением исследователя и высоко оценили его работу. Вредоносное ПО может принимать различные формы, в том числе в виде загружаемых файлов, призванных обмануть пользователя».

«Именно поэтому мы предупреждаем пользователей никогда не нажимать и не открывать файлы от незнакомых людей, независимо от того, как они их получили - через WhatsApp или любое другое приложение».

Представитель компании также пояснил, что в WhatsApp существует система, предупреждающая пользователей о том, что им пишут пользователи, которых нет в списке контактов, или номера телефонов которых зарегистрированы в другой стране.

Тем не менее, если аккаунт пользователя взломан, злоумышленник может отправить всем в списке контактов вредоносные скрипты, которые проще всего выполнить прямо из приложения для обмена сообщениями.

Кроме того, подобные вложения могут быть размещены в публичных и частных группах чата, что может быть использовано злоумышленниками для распространения вредоносных файлов.

В ответ на то, что WhatsApp отклонил отчет, Дас выразил разочарование тем, как проект справился с ситуацией.

«Просто добавив расширения .pyz и .pyzw в свой блок-лист, Meta может предотвратить потенциальную эксплуатацию через эти Pythonic zip-файлы», - сказал исследователь.

Он добавил, что, решив эту проблему, WhatsApp «не только повысит безопасность своих пользователей, но и продемонстрирует свою приверженность оперативному решению проблем безопасности».

BleepingComputer связался с WhatsApp, чтобы предупредить их о том, что расширение PHP также не заблокировано, но пока не получил ответа.