Уязвимость в WhatsApp позволяет бесшумно запускать вредоносные скрипты Python и PHP

В последней версии WhatsApp для Windows скрывается серьезная уязвимость. Она позволяет злоумышленникам отправлять вложения с Python и PHP скриптами, которые запускаются без предупреждения, как только получатель их открывает.

Проблема напоминает брешь в безопасности Telegram для Windows, выявленную в апреле. Тогда разработчики сначала отвергли сообщение о проблеме, но позже все же исправили ее. В случае с Telegram злоумышленники могли обходить предупреждения системы безопасности и удаленно выполнять код, отправляя Python-файл с расширением .pyzw через мессенджер.

Сауманджит Дас , эксперт по безопасности, наткнулся на эту уязвимость, когда экспериментировал с различными типами файлов, прикрепляемых к сообщениям в WhatsApp. Он выяснил, что приложение не блокирует запуск файлов .PYZ (Python ZIP приложение), .PYZW (программа PyInstaller) и .EVTX (журнал событий Windows).

Дополнительное исследование, проведенное изданием BleepingComputer , подтвердило находки Даса и показало, что PHP-скрипты также отсутствуют в черном списке WhatsApp.

Для успешной атаки на компьютере жертвы должен быть установлен Python, что сужает круг потенциальных целей до разработчиков программного обеспечения, исследователей и продвинутых пользователей. Однако такое ограничение не уменьшает серьезности проблемы.

Любопытно, что WhatsApp блокирует множество других потенциально опасных типов файлов. Например, при попытке отправить файлы с расширениями .EXE, .COM, .SCR, .BAT или Perl, приложение выдает предупреждение и предлагает пользователю только два варианта: "Открыть" или "Сохранить как". При этом попытка открыть такой файл приводит к ошибке, оставляя пользователям единственную возможность - сохранить файл на диск и запустить его оттуда.

Дас сообщил об этой проблеме в Meta* 3 июня, но 15 июля получил ответ, что другой исследователь уже поднимал этот вопрос. Несмотря на это, когда Дас обратился в BleepingComputer, ошибка все еще присутствовала в последней версии WhatsApp для Windows (v2.2428.10.0).

Представитель компании заявил, что они не считают это проблемой со своей стороны и не планируют вносить исправления. Вместо этого в WhatsApp делают акцент на предупреждении пользователей: не следует открывать файлы от незнакомцев, вне зависимости от того, в каком приложении они получены. Кроме того, представитель WhatsApp рассказал о встроенной системе безопасности. Она предупреждает пользователей, если им пишет кто-то не из списка контактов или с номером телефона, зарегистрированным в другой стране.

Однако эксперты отмечают: если аккаунт будет взломан, злоумышленник сможет разослать вредоносные скрипты всем контактам в списке, причем их будет легче выполнить прямо из мессенджера. Более того, такие вложения могут попасть в публичные и приватные групповые чаты, что открывает хакерам путь для массового распространения вредоносных файлов.

Дас крайне разочарован действиями WhatsApp. По его мнению, "достаточно внести расширения .pyz и .pyzw в черный список, чтобы предотвратить потенциальные атаки через Python-файлы».

На момент публикации новости WhatsApp так и не объяснила, почему расширение PHP не заблокировано. Пока что пользователям WhatsApp для Windows рекомендуют проявлять особую осторожность при открытии вложений, особенно если они содержат Python или PHP скрипты.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.