Una vulnerabilità di sicurezza è stata scoperta nell'ultima versione di WhatsApp per Windows, consentendo l'invio di allegati Python e PHP che vengono eseguiti senza alcun avviso quando il destinatario li apre.
Per il successo dell'attacco, è necessario che Python sia installato sul sistema del destinatario, un prerequisito che potrebbe limitare i bersagli a sviluppatori software, ricercatori e utenti avanzati.
Il problema è simile a quello che ha colpito Telegram per Windows ad aprile, inizialmente respinto ma successivamente corretto, dove gli aggressori potevano aggirare gli avvisi di sicurezza ed eseguire codice remoto inviando un file Python .pyzw attraverso il client di messaggistica.
WhatsApp blocca diversi tipi di file considerati rischiosi per gli utenti, ma l'azienda ha dichiarato a BleepingComputer che non intende aggiungere gli script Python alla lista dei file bloccati.
Script Python e PHP non bloccati
Il ricercatore di sicurezza Saumyajeet Das ha scoperto la vulnerabilità mentre sperimentava con i tipi di file che potevano essere allegati alle conversazioni WhatsApp per verificare se l'applicazione consentisse l'invio di file potenzialmente pericolosi.
Quando si invia un file potenzialmente dannoso, come un .EXE, WhatsApp lo mostra e offre al destinatario due opzioni: Apri o Salva con nome. Tuttavia, quando si tenta di aprire il file, WhatsApp per Windows genera un errore, lasciando agli utenti solo l'opzione di salvare il file sul disco e lanciarlo da lì.
Nei test di BleepingComputer, questo comportamento è stato coerente con i tipi di file .EXE, .COM, .SCR, .BAT e Perl utilizzando il client WhatsApp per Windows. Per tutti questi, si è verificato un errore quando si è tentato di lanciarli direttamente dall'app cliccando su "Apri". L'esecuzione era possibile solo dopo averli salvati sul disco.
Das ha segnalato il problema a Meta il 3 giugno e l'azienda ha risposto il 15 luglio, affermando che era già stato segnalato da un altro ricercatore. Quando il ricercatore ha contattato BleepingComputer, il bug era ancora presente nell'ultima versione di WhatsApp per Windows.
Un portavoce di WhatsApp ha spiegato che non considerano il problema come una falla, quindi non ci sono piani per una correzione. Hanno sottolineato l'importanza di non aprire mai file da sconosciuti, indipendentemente da come sono stati ricevuti.
Tuttavia, se l'account di un utente viene violato, l'attaccante può inviare a tutti i contatti script dannosi che sono più facili da eseguire direttamente dall'app di messaggistica. Inoltre, questi tipi di allegati potrebbero essere pubblicati in gruppi di chat pubblici e privati, potenzialmente sfruttati da attori malevoli per diffondere file dannosi.
Das ha espresso delusione per come Meta ha gestito la situazione, sottolineando che aggiungendo semplicemente le estensioni .pyz e .pyzw alla loro lista di blocco, l'azienda potrebbe prevenire potenziali attacchi di malintenzionati.