کشف حفره امنیتی خطرناک درنسخه جدید واتساپ ویندوز

در نسخه جدید واتساپ برای ویندوز، ارسال و اجرای فایل‌های اسکریپتی Python و PHP بدون هشدار امکان‌پذیر شده است، که این موضوع می‌تواند امنیت کاربران را به خطر بیندازد.

به گزارش تک‌ناک، یک مشکل امنیتی در آخرین نسخه واتساپ برای ویندوز امکان ارسال پیوست‌های پایتون و پی‌اچ‌پی را فراهم می‌آورد که وقتی گیرنده آنها را باز می‌کند، بدون هیچ هشداری اجرا می‌شوند.

این موضوع فقط در صورت نصب Python در سیستم مقصد امکان‌پذیر است و اغلب محدود به توسعه‌دهندگان نرم‌افزار، محققان و کاربران پیشرفته می‌شود. واتساپ اعلام کرده است که برنامه‌ای برای مسدود کردن فایل‌های اسکریپتی Python ندارد.

برای موفقیت‌آمیز بودن حمله هکرها، پایتون نیاز به نصب دارد. پیش‌نیازی که ممکن است اهداف را به توسعه‌دهندگان نرم‌افزار، محققان و کاربران پیشرفته محدود کند.

این مشکل مشابه مشکلی است که تلگرام را برای ویندوز در ماه آوریل تحت تأثیر قرار داد، که در ابتدا رد شد اما بعد مجبور به رفع آن شدند. در آن هکرها می‌توانستند هشدارهای امنیتی را دور بزنند و هنگام ارسال یک فایل Python.pyzw از طریق کلاینت پیام‌رسان، کد را از راه دور اجرا کنند.

واتساپ چندین نوع فایل را مسدود می‌سازد که برای کاربران خطر ایجاد می‌کنند، اما این شرکت می‌گوید که قصد ندارد اسکریپت‌های پایتون را به لیست اضافه نماید.

آزمایش‌های بیشتر توسط BleepingComputer نشان می‌دهد که فایل‌های PHP (.php) نیز در فهرست بلاک واتساپ گنجانده نشده‌اند.

‌اسکریپت‌های پایتون، PHP مسدود نشده‌اند

یک محقق امنیتی در زمان آزمایش انواع فایل‌هایی که می‌توان به مکالمات واتساپ متصل شوند، این آسیب‌پذیری را پیدا کرد تا ببیند آیا این برنامه به هر یک از موارد خطرناک اجازه می‌دهد یا خیر.

هنگام ارسال یک فایل خطرناک، مانند EXE، نرم‌افزار واتساپ آن را نشان می‌دهد و دو گزینه Open یا Save As به گیرنده می‌دهد.

با وجود این، هنگام تلاش برای باز کردن فایل، WhatsApp برای ویندوز یک خطا ایجاد می‌کند و به کاربران تنها این امکان را می‌دهد که فایل را روی دیسک ذخیره و از آنجا راه‌اندازی کنند.

در آزمایش‌های BleepingComputer، این رفتار با انواع فایل‌های EXE، .COM، .SCR، .BAT و Perl با استفاده از کلاینت WhatsApp برای ویندوز مطابقت داشت. همچنین این پلتفرم اجرای .DLL، .HTA و VBS را مسدود می‌کند.

برای تمام این موارد، هنگام تلاش برای راه‌اندازی مستقیم آنها از برنامه با کلیک روی “Open” خطایی روی داد. اجرای آنها تنها پس از ذخیره در ابتدا روی دیسک امکان‌پذیر بود.

محقق امنیتی گفت که سه نوع فایل پیدا کرده است که کلاینت WhatsApp از راه‌اندازی آنها جلوگیری نمی‌کند و شامل PYZ (برنامه زیپ پایتون)، .PYZW (برنامه PyInstaller) و EVTX (فایل ثبت رویدادهای ویندوز) است.

آزمایش‌های BleepingComputer تأیید کرد که واتساپ اجرای فایل‌های پایتون را مسدود نمی‌کند و متوجه شد که همین اتفاق در مورد اسکریپت‌های PHP نیز رخ می‌دهد.

اگر تمام منابع موجود باشد، تنها کاری که گیرنده باید انجام دهد این است که روی دکمه “Open” در فایل دریافتی کلیک کند و اسکریپت اجرا شود.

محقق امنیتی مشکل را در 3 ژوئن به متا گزارش کرد و شرکت در 15 جولای پاسخ داد که این مشکل از قبل توسط محقق دیگری گزارش شده بود.

هنگامی که محقق با BleepingComputer تماس گرفت، این باگ همچنان در آخرین نسخه WhatsApp برای ویندوز وجود داشت.

شرکت اعتنایی به این تماس نداشت و آن را رد کرد.

BleepingComputer برای شفاف‌سازی در مورد دلیل رد گزارش محقق با واتساپ تماس گرفت و یکی از سخنگوهای این شرکت توضیح داد که آن را به عنوان یک مشکل از جانب خود نمی‌بینند، بنابراین هیچ برنامه‌ای برای رفع آن وجود ندارد. این سخنگو گفت:

«ما آنچه را که محقق پیشنهاد کرده است، خوانده‌ایم و از ارسال آنها قدردانی می‌کنیم. بدافزارها می‌توانند اشکال مختلفی داشته باشند، از جمله از طریق فایل‌های دانلودی که هدف آنها فریب دادن کاربر است. به همین دلیل است که ما به کاربران هشدار می‌دهیم که هرگز روی فایل فرد ناشناس صرف نظر از شیوه دریافت آن چه از طریق WhatsApp یا هر برنامه دیگری، کلیک نکرده یا آن را باز نکنند.»

همچنین نماینده این شرکت توضیح داد که واتساپ سیستمی را برای هشدار در اختیار دارد و زمانی که توسط کاربرانی که در لیست مخاطبین یک کاربر نیستند، پیام ارسال می‌شود یا شماره تلفن آنها در کشور دیگری ثبت شده است، به آنها پیام می‌دهد.

با وجود این، اگر حساب کاربری دزدیده شود، هکر می‌تواند اسکریپت‌های مخربی را برای همه افراد حاضر در فهرست مخاطب ارسال کند، که اجرای آنها به صورت مستقیم از برنامه پیام‌رسانی آسان‌تر است.

علاوه بر این، این نوع لینک‌ها می‌توانند در گروه‌های چت عمومی و خصوصی ارسال شوند، که ممکن است توسط عوامل تهدید برای انتشار فایل‌های مخرب مورد سوء استفاده قرار گیرند.

محقق امنیتی در پاسخ به WhatsApp که این گزارش را رد کرده بود، از نوع مدیریت پروژه با این وضعیت ابراز ناامیدی کرد.

این محقق گفت:

«با افزودن پسوندهای .pyz. و .pyzw. به فهرست بلاک‌ متا می‌تواند از بهره‌برداری احتمالی از طریق این فایل‌های فشرده پایتونیک جلوگیری کند و با رفع این مشکل، WhatsApp نه تنها امنیت کاربران خود را افزایش می‌دهد، بلکه تعهد آنها به حل فوری نگرانی‌های امنیتی مشخص می‌شود.»