WhatsApp* для Windows позволяет скриптам Python и PHP выполняться без предупреждения

Уязвимость безопасности в последней версии WhatsApp* для Windows позволяет отправлять вложения Python и PHP, которые выполняются без предупреждения при их открытии получателем.
WhatsApp* для Windows позволяет скриптам Python и PHP выполняться без предупреждения

WhatsApp* для Windows позволяет скриптам Python и PHP выполняться без предупреждения. Фото: СС0

Для успешной атаки необходимо установить Python, что может ограничить круг целей разработчиками программного обеспечения, исследователями и опытными пользователями.

Проблема похожа на ту, которая затронула Telegram для Windows в апреле и которая изначально была отклонена, но позже исправлена. Злоумышленники могли обойти предупреждения безопасности и выполнить удаленное выполнение кода при отправке файла Python .pyzw через клиент обмена сообщениями.

WhatsApp* блокирует несколько типов файлов, которые считаются представляющими риск для пользователей, но в компании сообщили, что не планирует добавлять скрипты Python в этот список. Файлы PHP (.php) также не включены в перечень.

Исследователь безопасности Сомьяджит Дас обнаружил уязвимость, экспериментируя с типами файлов, которые можно прикреплять к разговорам WhatsApp*, чтобы проверить, допускает ли приложение какие-либо из них, представляющие риск.

При отправке потенциально опасного файла, например .EXE, WhatsApp* отображает его и предлагает получателю два варианта: «Открыть» или «Сохранить как».

Однако при попытке открыть файл, WhatsApp* для Windows выдает ошибку, оставляя пользователям возможность только сохранить файл на диск и запустить его оттуда.

Так случалось с файлами .EXE, .COM, .SCR, .BAT и Perl с использованием клиента WhatsApp* для Windows. Дас обнаружил, что WhatsApp также блокирует выполнение .DLL, .HTA и VBS.

Для всех них возникала ошибка при попытке запустить их непосредственно из приложения, нажав «Открыть». Выполнение их было возможно только после предварительного сохранения на диск.

Дас сообщил, что обнаружил три типа файлов, запуск которых клиент WhatsApp* не блокирует: .PYZ (приложение Python ZIP), .PYZW (программа PyInstaller) и .EVTX (файл журнала событий Windows).

То же самое происходит и со скриптами PHP.

Если все ресурсы присутствуют, получателю остается только нажать кнопку «Открыть» на полученном файле, и скрипт будет выполнен.

Дас сообщил о проблеме компании Meta* 3 июня, а 15 июля в компании ответили, что о проблеме уже сообщил другой исследователь.

Там также заявили, что они не видят в ситуации проблемы со своей стороны, поэтому никаких планов по ее исправлению нет и советуют «не нажимать на ссылки от незнакомых собеседников». 

*WhatsApp является продуктом компании *Meta, признанной экстремистской и запрещенной в Российской Федерации.

Startpack подготовил список мессенджеров. Это приложения и веб-сервисы, позволяющие пользователям обмениваться сообщениями в локальных корпоративных сетях или Интернет. Продукты позволяют отправлять зашифрованные сообщения, создавать и администрировать групповые чаты, совершать голосовые звонки, вести видеоконференции, а также отправлять файлы. Некоторые приведённые инструменты предназначены для создания ботов и управления ими. Решения включают в себя веб-сервисы и приложения для разных операционных систем.

Статьи по теме

Больше интересного

Актуальное

Смешанное лицензирование Copilot Enterprise в бета-версии внедрили в GitHub
В Apple откладывают внедрение функций искусственного интеллекта
Использующая Windows 3.1 четвертая по величине авиакомпания США Southwest Airlines избежала сбоя CrowdStrike-Microsoft
Ещё…