هشدار در خصوص نسخه ویندوزی واتساپ برای اجرای اسکریپت‌های پایتون و PHP

یک مسئله امنیتی در آخرین نسخه ویندوزی واتساپ (WhatsApp) وجود دارد که امکان ارسال پیوست‌های پایتون و PHP را فراهم می‌آورد و هنگامی که گیرنده آن‌ها را باز می‌کند، بدون هیچ هشداری اجرا می‌شوند.

به منظور اجرای یک حمله موفق، نیاز به نصب پایتون بر روی سیستم وجود دارد؛ پیش نیازی که ممکن است قربانیان این حمله را به مجموعه‌ای از توسعه دهندگان نرم افزار، محققان و کاربران خاص محدود کند.

این مسئله، مشابه مشکلی است که نسخه ویندوزی تلگرام را در ماه آوریل تحت تاثیر قرار داد که در ابتدا رد شد اما بعداً برطرف گردید. مهاجمان با سوء استفاده از این فرصت می‌توانستند هشدارهای امنیتی را دور بزنند و هنگام ارسال یک فایل Python.pyzw از طریق کلاینت پیام‌رسان، کدی را از راه دور اجرا کنند.

واتساپ چندین نوع فایل را که برای کاربران مخرب هستند، مسدود کرده است اما این شرکت قصد ندارد اسکریپت‌های پایتون و PHP (.php) را به این لیست اضافه کند.

سه نوع پسوند فایل وجود دارد که کلاینت واتساپ از راه‌اندازی آنها ممانعت نمی‌کند: PYZ  (برنامه زیپ پایتون)، PYZW (برنامه PyInstaller) و EVTX  (فایل ثبت رویدادهای ویندوز). این نوع پیوست‌ها می‌توانند در گروه‌های چت عمومی و خصوصی ارسال شوند.

یک محقق امنیتی به نام Saumyajeet Das در حین آزمایش انواع فایل‌هایی که می‌توانند به مکالمات واتساپ متصل شوند، این آسیب‌ پذیری را شناسایی کرده است.

با این حال، نسخه ویندوزی واتساپ هنگام تلاش برای باز کردن فایل، یک پیغام نمایش میدهد و به کاربران این امکان را می‌دهد تا فایل را بر روی دیسک ذخیره کرده و آن را از آنجا اجرا کنند.

این رفتار، مشابه همان رفتاری است که با انواع فایل‌های EXE، COM، SCR، BAT و Perl در کلاینت ویندوزی واتساپ می‌شود. واتساپ همچنین اجرای فایل‌های DLL، HTA و VBS را مسدود کرده است.

چنانچه پیش نیاز مورد نظر (نصب پایتون روی سیستم) موجود باشد، تنها کاری که گیرنده باید انجام دهد این است که بر روی دکمه “Open ” در فایل دریافتی کلیک کند تا اسکریپت اجرا شود.

این باگ همچنان در آخرین نسخه ویندوزی واتساپ (نسخه ۲.۲۴۲۸.۱۰.۰ ویندوز 11) وجود دارد. یکی از سخنگویان واتساپ اعلام کرده است که آنها این مسئله را به عنوان یک باگ از جانب خود نمی بینند. از این رو، هیچ برنامه‌ای برای رفع آن ندارند.

نماینده این شرکت همچنین توضیح داد که واتساپ سیستمی را در اختیار دارد که به کاربرانی که از افرادی خارج از لیست مخاطبین خود و یا شماره ثبت شده در کشور دیگری پیام دریافت می‌کنند، هشدار میدهد.

با این وجود، اگر یک حساب کاربری ربوده شود، مهاجم می‌تواند اسکریپت‌های مخربی را برای همه افراد موجود در فهرست مخاطبین فرد قربانی ارسال کند که اجرای آنها مستقیماً از برنامه پیام‌رسان آسان‌تر خواهد بود.

متا می‌تواند با افزودن پسوندهای pyz  و pyzw به فهرست بلاک‌ خود، از سوء استفاده احتمالی از طریق این فایل‌های زیپ پایتونی جلوگیری به عمل آورد.

منابع