Исследователь обнаружил уязвимость в последней версии WhatsApp для Windows, которая позволяет отправлять Python- и PHP-вложения, которые будут выполнены без предупреждения, если пользователь их откроет.

Обнаруженная в WhatsApp проблема похожа на баг, который нашли в Telegram для Windows в апреле текущего года. Напомним, что тогда злоумышленники научились обходить предупреждения мессенджера и добивались удаленного выполнения кода при отправке жертве Python-файлов (.pyzw).

Похожую проблему в WhatsApp обнаружил ИБ-иследователь Саумьяджит Дас (Saumyajeet Das), который экспериментировал с типами файлов, которые можно прикреплять к чатам в WhatsApp, и проверял, разрешает ли приложение что-нибудь опасное.

Так, при отправке потенциально опасного файла (например, .exe) WhatsApp предлагает получателю два варианта: «Открыть» или «Сохранить как». Однако при попытке открыть некоторые файлы мессенджер отображает ошибку, оставляя пользователю только возможность сохранить файл на диск и запустить оттуда.

Как сообщает издание Bleeping Computer, такое поведение характерно для файлов .EXE, .COM, .SCR, .BAT и Perl в клиенте WhatsApp для Windows. Также Дас обнаружил, что WhatsApp блокирует выполнение .DLL, .HTA и VBS. Запустить их можно только после сохранения на диск.

Однако специалист выяснил, что есть три типа файлов, запуск которых клиент WhatsApp не блокирует. Это файлы .PYZ (Python ZIP), .PYZW (PyInstaller) и .EVTX (файл журнала событий Windows). Журналисты также обнаружили, что мессенджер не блокирует PHP-скрипты (.PHP).

Отмечается, что для успешной атаки необходимо, чтобы в системе жертвы был установлен Python, что ограничивает круг потенциальных жертв разработчиками ПО, исследователями и продвинутыми пользователями. Тем не менее, если все условия соблюдены, получателю достаточно нажать кнопку «Открыть» и полученный скрипт автоматически выполнится.

Дас уведомил Meta* о проблеме через программу bug bounty еще 3 июня 2024 года, и 15 июля компания ответила, что об этом уже сообщали другие специалисты, и все уже должно быть исправлено.

Однако уязвимость по-прежнему работает в последней версии WhatsApp для Windows, и ее удалось воспроизвести на машине под управлением Windows 11 (2.2428.10.0).

При этом разработчики WhatsApp сообщили журналистам Bleeping Computer, что вообще не планируют добавлять Python-скрипты в список файлов, открытие которых блокируется по умолчанию. Представители компании объяснили изданию, что не видят проблемы, поэтому выпуск исправлений не планируется.

«Мы ознакомились с предложением исследователя и высоко оценили его работу. Вредоносное ПО может принимать различные формы, в том числе в виде загружаемых файлов, призванных обмануть пользователя. Именно поэтому мы предупреждаем пользователей никогда не кликать и не открывать файлы от незнакомых людей, независимо от того, как они их получили — через WhatsApp или любое другое приложение», — заявили в компании.

Также представители компании добавили, что в WhatsApp существует система, предупреждающая пользователей о том, что им пишут люди, которых нет в списке контактов, или номера телефонов которых зарегистрированы в другой стране.

Дас сообщил журналистам, что разочарован тем, как разработчики реагируют на ситуацию.

«Просто добавив расширения .pyz и .pyzw в черный список, Meta* могла бы предотвратить потенциальную эксплуатацию через эти файлы», — сетует исследователь.

*Деятельность компании Meta признана экстремистской и запрещена на территории РФ.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии