هناك مشكلة أمنية في أحدث إصدار من تطبيق WhatsApp لنظام التشغيل Windows تسمح بإرسال مرفقات Python وPHP التي يتم تنفيذها دون سابق إنذار عندما يفتحها المستلم.
لكي ينجح الهجوم، يجب تثبيت Python، وهو مطلب يمكن أن يحد من سطح الهجوم لمطوري البرامج والباحثين والمستخدمين المحترفين.
تشبه المشكلة المشكلة التي أثرت على Telegram لنظام التشغيل Windows في أبريل، والتي تم رفضها في البداية ولكن تم حلها لاحقًا. يتيح ذلك للمهاجمين تجاوز التحذيرات الأمنية وتنفيذ تعليمات برمجية عن بعد عندما يرسلون ملف Python .pyzw عبر عميل المراسلة. يحظر تطبيق WhatsApp العديد من أنواع الملفات التي يُعتقد أنها تشكل خطراً على المستخدمين. ومع ذلك، أخبرت الشركة BleepingComputer أنه ليس لديها خطط لإضافة نصوص Python إلى القائمة.
ووجد اختبار إضافي أجراه موقع BleepingComputer أن ملفات PHP (.php) ليست موجودة أيضًا في قائمة الحظر الخاصة بـ WhatsApp.
لا يتم حظر البرامج النصية Python وPHP اكتشف الباحث الأمني Saumyajeet Das الثغرة الأمنية أثناء تجربة أنواع الملفات التي يمكن إرفاقها بمحادثات WhatsApp لمعرفة ما إذا كان التطبيق يسمح بالملفات الخطيرة. ومع ذلك، عند محاولة فتح الملف، يُنشئ تطبيق WhatsApp لنظام التشغيل Windows خطأً، مما يمنح المستخدمين خيار حفظ الملف على القرص وتشغيله ببساطة من هناك.
في اختبار BleepingComputer، كان هذا السلوك متوافقًا مع أنواع الملفات .EXE و.COM و.SCR و.BAT وPerl باستخدام عميل WhatsApp لنظام التشغيل Windows. اكتشف داس أن WhatsApp يمنع أيضًا تنفيذ .DLL و.HTA وVBS.
فشلت جميعها عند محاولة تشغيلها مباشرة من التطبيق بالنقر فوق “فتح”. لم يكن التنفيذ ممكنًا إلا بعد حفظه على القرص الصلب.
وأكدت اختبارات BleepingComputer أن تطبيق WhatsApp لا يمنع تنفيذ ملفات Python، ووجدت أن نفس الشيء يحدث مع نصوص PHP النصية.
عندما تكون جميع الموارد موجودة، يحتاج المستلم ببساطة إلى النقر فوق الزر “فتح” للملف المستلم وسيتم تنفيذ البرنامج النصي.
أبلغ Das شركة Meta بالمشكلة في 3 يونيو، وردت الشركة في 15 يوليو قائلة إن المشكلة قد تم الإبلاغ عنها بالفعل بواسطة باحث آخر وكان من المفترض أن يتم إصلاحها بالفعل.
عندما اتصل الباحث بـ BleepingComputer، كان الخطأ لا يزال موجودًا في أحدث إصدار من WhatsApp لنظام التشغيل Windows ويمكننا إعادة إنتاجه على Windows 11، v2.2428.10.0.
“لقد أبلغت Meta بهذه المشكلة عبر برنامج مكافآت الأخطاء الخاص بهم، ولكن لسوء الحظ قاموا بإغلاقه باعتباره غير متاح. وأوضح الباحث: “هذا أمر مخيب للآمال لأنه خطأ واضح يمكن إصلاحه بسهولة”.
تواصلت BleepingComputer مع WhatsApp لتوضيح سبب رفض تقرير الباحث، وأوضح المتحدث أنهم لم يروا في ذلك مشكلة من جانبهم وبالتالي ليس لديهم خطط لإصلاح المشكلة:
“لقد قرأنا ما اقترحته الباحثة ونرحب بمشاركتك. يمكن أن تتخذ البرامج الضارة العديد من الأشكال المختلفة، بما في ذلك الملفات القابلة للتنزيل والمصممة لخداع المستخدم.
“لهذا السبب نحذر المستخدمين من النقر أو فتح ملف من شخص لا يعرفونه، بغض النظر عن كيفية استلامه – سواء عبر WhatsApp أو تطبيق آخر.”
وأوضح ممثل الشركة أيضًا أن واتساب لديه نظام يقوم بتنبيه المستخدمين عندما يتلقون رسائل من مستخدمين غير موجودين في قوائم الاتصال الخاصة بهم أو أرقام هواتفهم مسجلة في بلد آخر.
ومع ذلك، إذا تم اختراق حساب المستخدم، فيمكن للمهاجم إرسال رسائل نصية ضارة إلى كل شخص في قائمة جهات الاتصال، والتي يمكن تنفيذها بسهولة مباشرة من تطبيق المراسلة.
بالإضافة إلى ذلك، يمكن نشر هذه المرفقات في مجموعات الدردشة العامة والخاصة، والتي يمكن إساءة استخدامها من قبل جهات التهديد لتوزيع الملفات الضارة.
وفي رد فعله على رفض واتساب للتقرير، أعرب داس عن خيبة أمله بشأن كيفية تعامل المشروع مع الوضع.
قال الباحث: “من خلال إضافة امتدادات .pyz و.pyzw إلى القائمة المحظورة، يمكن لـ Meta منع الاستغلال المحتمل لملفات ZIP المستندة إلى Python”، مضيفًا أنه من خلال إصلاح هذه المشكلة، لن يقوم WhatsApp “بإجراء أي تحسينات.. ليس فقط أمان مستخدميها، ولكنها ستظهر أيضًا التزامها بحل المشكلات الأمنية على الفور.
