WhatsApp for Windows 最新版本中存在一个安全问题,许可发送 Python 和 PHP 附件,当收件人打开这些附件时,这些附件会在没有任何警告的情形下实行。要成功攻击,须要安装 Python,这一先决条件可能会将目标限定在软件开拓职员、研究职员和高等用户。
该问题与 4 月份影响 Windows 版 Telegram 的问题类似,该问题最初被谢绝但后来得到修复,攻击者可以在通过通报客户端发送 Python .pyzw 文件时绕过安全警告并实行远程代码实行。
WhatsApp 屏蔽了多种被认为对用户有风险的文件类型,但该公司不打算将 Python 脚本添加到列表中且PHP 文件 (.php) 也不包含在 WhatsApp 的阻挡列表中。
Python、PHP 脚本未被阻挡
安全研究员 Saumyajeet Das 在试验可以附加到 WhatsApp 对话中的文件类型时创造了此漏洞,以查看该运用程序是否许可任何有风险的文件。当发送潜在危险的文件(例如 .EXE)时,WhatsApp 会显示该文件并为收件人供应两个选项:打开或另存为。
WhatsApp 的可实行文件选项
但是,当考试测验打开文件时,WhatsApp for Windows 会天生缺点,用户只能选择将文件保存到磁盘并从那里启动它。在测试中,利用 WhatsApp for Windows 客户端时,此行为与 .EXE、.COM、.SCR、.BAT 和 Perl 文件类型同等。Das 创造 WhatsApp 还会阻挡 .DLL、.HTA 和 VBS 的实行。
对付所有这些程序,当考试测验通过单击“打开”直接从运用程序启动它们时,都会发生缺点,只有先保存到磁盘后才能实行它们。
从 WhatsApp 客户端启动 .EXE 失落败
Das 在接管采访时表示,他创造 WhatsApp 客户端不会阻挡三种文件类型启动:.PYZ(Python ZIP 运用程序)、.PYZW(PyInstaller 程序)和 .EVTX(Windows 事宜日志文件)。
测试证明,WhatsApp 不会阻挡 Python 文件的实行,并创造 PHP 脚本也会发生同样的情形。
如果所有资源都存在,吸收者只需单击吸收文件上的“打开”按钮,脚本就会实行。
Das 于 6 月 3 日向 Meta 报告了该问题,该公司于 7 月 15 日回答称,另一位研究职员已经报告了该问题。目前。该漏洞仍旧存在于适用于 Windows 的最新 WhatsApp 版本中,我们可以在 Windows 11 v2.2428.10.0 上对此多加把稳。
干系媒体企图联系 WhatsApp,以澄清驳回研究职员报告的缘故原由,一位发言人阐明说,他们不认为这是他们的问题,因此没有修复操持。
该公司代表阐明说,WhatsApp 有一个别系,当用户收到不在其联系人列表中的用户或电话号码在其他国家/地区注册的用户发送的时,会发出警告。然而,如果用户的帐户被挟制,攻击者可以向联系人列表中的每个人发送恶意脚本,这些脚本更随意马虎直接从运用程序中实行。
此外,这些类型的附件可能会发布到公共和私人谈天组中,威胁者可能会滥用这些谈天组来传播恶意文件。在回应 WhatsApp 谢绝该报告时,Das 对该项目处理这种情形的办法表示失落望。
实在只需将 .pyz 和 .pyzw 扩展名添加到阻挡列表中,Meta 便可以阻挡通过这些 Pythonic zip 文件进行的潜在攻击。通过办理该问题,WhatsApp 不仅可以增强其用户的安全性,还可以表明他们致力于迅速办理安全问题的良好态度。
有关媒体联系了 WhatsApp,提醒他们 PHP 扩展也没有被阻挡,但目前尚未收到其回答。
