WhatsApp für Windows erlaubt das Ausführen von Python- und PHP-Skripten ohne Warnung

Als eine der beliebtesten und am weitesten verbreiteten Instant-Messaging-Plattformen im Internet hat WhatsApp starke Sicherheitsmaßnahmen implementiert, um die potenziell gefährlichsten Dateien zu blockieren und so die Privatsphäre und Daten der Nutzer zu schützen.

Eine kürzlich entdeckte Sicherheitsanfälligkeit in der neuesten Version von WhatsApp für Windows ermöglicht es Angreifern jedoch, Python- und PHP-Anhänge auf einem Computer ohne jegliche Warnung auszuführen, wenn der Empfänger diese öffnet.

Diese WhatsApp-Sicherheitsanfälligkeit stellt ein erhebliches Risiko für die Nutzer dar, da sie Bedrohungsakteuren ermöglicht, schädlichen Code direkt auf dem Computer des Empfängers auszuführen.

Der Sicherheitsforscher Saumyajeet Das fand die Anfälligkeit in der aktuellen Version von WhatsApp für Windows, während er verschiedene Dateitypen testete, die mit WhatsApp-Chats verbunden sein könnten, um zu sehen, ob die App einige der komplizierteren zulässt (über BleepingComputer).

„Beim Senden einer potenziell gefährlichen Datei, wie z.B. .EXE, zeigt WhatsApp diese an und gibt dem Empfänger zwei Optionen: Öffnen oder Speichern unter“, schrieb BleepingComputer in seinem Bericht.

„Wenn man jedoch versucht, die Datei zu öffnen, erzeugt WhatsApp für Windows einen Fehler, sodass den Nutzern nur die Möglichkeit bleibt, die Datei auf die Festplatte zu speichern und von dort aus zu starten.“

Das fand drei Dateitypen, die der WhatsApp-Client nicht vom Starten blockiert, nämlich .PYZ (Python ZIP-App), .PYZW (PyInstaller-Programm) und .EVTX (Windows-Ereignisprotokolldatei).

Als BleepingComputer eigene Tests durchführte, stellte es fest, dass WhatsApp die Ausführung von Python-Dateien oder PHP-Skripten nicht blockierte.

Wenn alle Funktionen vorhanden sind, muss der Empfänger nur auf die Schaltfläche „Öffnen“ der empfangenen Datei klicken und das Skript ausführen.

Das sagt, dass die Sicherheitsanfälligkeit in der neuesten Version von WhatsApp für Windows die Ausführung beliebigen Codes ermöglicht, indem bestehende Sicherheitsmaßnahmen umgangen werden.

Damit die Schwachstelle ausgenutzt werden kann, muss Python jedoch auf dem Computer installiert sein, was bedeutet, dass die Zielgruppe auf Softwareentwickler, Forscher und fortgeschrittene Benutzer beschränkt sein könnte.

Die Sicherheitsanfälligkeit, die in WhatsApp für Windows gefunden wurde, wurde am 3. Juni 2024 an Meta gemeldet.

Das Unternehmen antwortete jedoch am 15. Juli 2024 und erklärte, dass ein anderer Forscher das Problem bereits gemeldet hatte und dass es behoben werden sollte.

Als der Forscher BleepingComputer kontaktierte, war der Fehler in der neuesten WhatsApp-Version für Windows, v2.2428.10.0, die von der Veröffentlichung unter Windows 11 reproduziert wurde, weiterhin aktiv.

„Ich habe dieses Problem über ihr Bug-Bounty-Programm an Meta gemeldet, aber leider wurde es als N/A geschlossen. Es ist enttäuschend, da dies ein einfaches Problem ist, das leicht behoben werden könnte“, erklärte der Forscher.

Als BleepingComputer WhatsApp um eine Erklärung zu dem Problem kontaktierte, wies WhatsApp den Bericht des Forschers zurück und erklärte, dass sie kein Sicherheitsrisiko sehen und nicht planen, einen Fix bereitzustellen.

„Wir haben gelesen, was der Forscher vorgeschlagen hat, und schätzen seine Einreichung. Malware kann viele verschiedene Formen annehmen, einschließlich über herunterladbare Dateien, die darauf abzielen, einen Benutzer hereinzulegen“, sagte ein WhatsApp-Sprecher in einer Erklärung gegenüber BleepingComputer.

„Deshalb warnen wir die Nutzer, niemals auf eine Datei von jemandem zu klicken oder diese zu öffnen, den sie nicht kennen, unabhängig davon, wie sie sie erhalten haben – sei es über WhatsApp oder eine andere App.“

Der Unternehmensvertreter erklärte auch, dass WhatsApp ein System hat, um Nutzer zu benachrichtigen, wenn sie Nachrichten von Personen erhalten, die nicht in ihren Kontakten sind oder deren Telefonnummern in einem anderen Land registriert sind.

Das äußerte Unmut darüber, wie Meta seinen Bericht über die Sicherheitsanfälligkeit und das WhatsApp-Sicherheitsproblem ignorierte. „Indem Meta einfach die .pyz- und .pyzw-Erweiterungen zu ihrer Blockliste hinzufügt, kann es potenzielle Ausnutzung durch diese pythonischen Zip-Dateien verhindern“, sagte der Forscher.

Durch die Behebung des Problems würde WhatsApp „nicht nur die Sicherheit ihrer Nutzer verbessern, sondern auch ihr Engagement zeigen, Sicherheitsbedenken umgehend zu lösen“, fügte er hinzu.

BleepingComputer kontaktierte ebenfalls WhatsApp, um sie darüber zu informieren, dass die PHP-Erweiterung ebenfalls nicht blockiert ist, hat jedoch noch keine Antwort erhalten.

Bis dahin sollten WhatsApp-Nutzer wachsam bleiben, verdächtige Dateien nicht öffnen, insbesondere solche von unbekannten Quellen, und ihre Software immer auf dem neuesten Stand halten.