در نسخه جدید واتساپ برای ویندوز، ارسال و اجرای فایلهای اسکریپتی Python و PHP بدون هشدار امکانپذیر شده است، که این موضوع میتواند امنیت کاربران را به خطر بیندازد.
به گزارش تکناک، یک مشکل امنیتی در آخرین نسخه واتساپ برای ویندوز امکان ارسال پیوستهای پایتون و پیاچپی را فراهم میآورد که وقتی گیرنده آنها را باز میکند، بدون هیچ هشداری اجرا میشوند.
این موضوع فقط در صورت نصب Python در سیستم مقصد امکانپذیر است و اغلب محدود به توسعهدهندگان نرمافزار، محققان و کاربران پیشرفته میشود. واتساپ اعلام کرده است که برنامهای برای مسدود کردن فایلهای اسکریپتی Python ندارد.
برای موفقیتآمیز بودن حمله هکرها، پایتون نیاز به نصب دارد. پیشنیازی که ممکن است اهداف را به توسعهدهندگان نرمافزار، محققان و کاربران پیشرفته محدود کند.
این مشکل مشابه مشکلی است که تلگرام را برای ویندوز در ماه آوریل تحت تأثیر قرار داد، که در ابتدا رد شد اما بعد مجبور به رفع آن شدند. در آن هکرها میتوانستند هشدارهای امنیتی را دور بزنند و هنگام ارسال یک فایل Python.pyzw از طریق کلاینت پیامرسان، کد را از راه دور اجرا کنند.
واتساپ چندین نوع فایل را مسدود میسازد که برای کاربران خطر ایجاد میکنند، اما این شرکت میگوید که قصد ندارد اسکریپتهای پایتون را به لیست اضافه نماید.
آزمایشهای بیشتر توسط BleepingComputer نشان میدهد که فایلهای PHP (.php) نیز در فهرست بلاک واتساپ گنجانده نشدهاند.
اسکریپتهای پایتون، PHP مسدود نشدهاند
یک محقق امنیتی در زمان آزمایش انواع فایلهایی که میتوان به مکالمات واتساپ متصل شوند، این آسیبپذیری را پیدا کرد تا ببیند آیا این برنامه به هر یک از موارد خطرناک اجازه میدهد یا خیر.
هنگام ارسال یک فایل خطرناک، مانند EXE، نرمافزار واتساپ آن را نشان میدهد و دو گزینه Open یا Save As به گیرنده میدهد.
با وجود این، هنگام تلاش برای باز کردن فایل، WhatsApp برای ویندوز یک خطا ایجاد میکند و به کاربران تنها این امکان را میدهد که فایل را روی دیسک ذخیره و از آنجا راهاندازی کنند.
در آزمایشهای BleepingComputer، این رفتار با انواع فایلهای EXE، .COM، .SCR، .BAT و Perl با استفاده از کلاینت WhatsApp برای ویندوز مطابقت داشت. همچنین این پلتفرم اجرای .DLL، .HTA و VBS را مسدود میکند.
برای تمام این موارد، هنگام تلاش برای راهاندازی مستقیم آنها از برنامه با کلیک روی “Open” خطایی روی داد. اجرای آنها تنها پس از ذخیره در ابتدا روی دیسک امکانپذیر بود.
محقق امنیتی گفت که سه نوع فایل پیدا کرده است که کلاینت WhatsApp از راهاندازی آنها جلوگیری نمیکند و شامل PYZ (برنامه زیپ پایتون)، .PYZW (برنامه PyInstaller) و EVTX (فایل ثبت رویدادهای ویندوز) است.
آزمایشهای BleepingComputer تأیید کرد که واتساپ اجرای فایلهای پایتون را مسدود نمیکند و متوجه شد که همین اتفاق در مورد اسکریپتهای PHP نیز رخ میدهد.
اگر تمام منابع موجود باشد، تنها کاری که گیرنده باید انجام دهد این است که روی دکمه “Open” در فایل دریافتی کلیک کند و اسکریپت اجرا شود.
محقق امنیتی مشکل را در 3 ژوئن به متا گزارش کرد و شرکت در 15 جولای پاسخ داد که این مشکل از قبل توسط محقق دیگری گزارش شده بود.
هنگامی که محقق با BleepingComputer تماس گرفت، این باگ همچنان در آخرین نسخه WhatsApp برای ویندوز وجود داشت.
شرکت اعتنایی به این تماس نداشت و آن را رد کرد.
BleepingComputer برای شفافسازی در مورد دلیل رد گزارش محقق با واتساپ تماس گرفت و یکی از سخنگوهای این شرکت توضیح داد که آن را به عنوان یک مشکل از جانب خود نمیبینند، بنابراین هیچ برنامهای برای رفع آن وجود ندارد. این سخنگو گفت:
«ما آنچه را که محقق پیشنهاد کرده است، خواندهایم و از ارسال آنها قدردانی میکنیم. بدافزارها میتوانند اشکال مختلفی داشته باشند، از جمله از طریق فایلهای دانلودی که هدف آنها فریب دادن کاربر است. به همین دلیل است که ما به کاربران هشدار میدهیم که هرگز روی فایل فرد ناشناس صرف نظر از شیوه دریافت آن چه از طریق WhatsApp یا هر برنامه دیگری، کلیک نکرده یا آن را باز نکنند.»
همچنین نماینده این شرکت توضیح داد که واتساپ سیستمی را برای هشدار در اختیار دارد و زمانی که توسط کاربرانی که در لیست مخاطبین یک کاربر نیستند، پیام ارسال میشود یا شماره تلفن آنها در کشور دیگری ثبت شده است، به آنها پیام میدهد.
با وجود این، اگر حساب کاربری دزدیده شود، هکر میتواند اسکریپتهای مخربی را برای همه افراد حاضر در فهرست مخاطب ارسال کند، که اجرای آنها به صورت مستقیم از برنامه پیامرسانی آسانتر است.
علاوه بر این، این نوع لینکها میتوانند در گروههای چت عمومی و خصوصی ارسال شوند، که ممکن است توسط عوامل تهدید برای انتشار فایلهای مخرب مورد سوء استفاده قرار گیرند.
محقق امنیتی در پاسخ به WhatsApp که این گزارش را رد کرده بود، از نوع مدیریت پروژه با این وضعیت ابراز ناامیدی کرد.
این محقق گفت:
«با افزودن پسوندهای .pyz. و .pyzw. به فهرست بلاک متا میتواند از بهرهبرداری احتمالی از طریق این فایلهای فشرده پایتونیک جلوگیری کند و با رفع این مشکل، WhatsApp نه تنها امنیت کاربران خود را افزایش میدهد، بلکه تعهد آنها به حل فوری نگرانیهای امنیتی مشخص میشود.»