WhatsApp Para Windows Permite Ejecutar Scripts de Python y PHP Sin Advertencia

Como una de las plataformas de mensajería instantánea más populares y utilizadas en Internet, WhatsApp tiene fuertes medidas de seguridad para bloquear los archivos potencialmente peligrosos, protegiendo así la privacidad y los datos de los usuarios.

Sin embargo, una vulnerabilidad de seguridad recientemente descubierta en la última versión de WhatsApp para Windows permite a los atacantes ejecutar archivos adjuntos de Python y PHP en una computadora sin ninguna advertencia cuando el destinatario los abre.

Esta vulnerabilidad de WhatsApp representa un riesgo significativo para los usuarios, ya que permite a los actores de amenazas ejecutar código malicioso directamente en la computadora del destinatario.

El investigador de seguridad Saumyajeet Das encontró la vulnerabilidad en la versión actual de WhatsApp para Windows mientras probaba diferentes tipos de archivos que podrían estar conectados a los chats de WhatsApp para ver si la aplicación permite alguno de los más complicados (a través de BleepingComputer).

“Al enviar un archivo potencialmente peligroso, como .EXE, WhatsApp lo muestra y le da al destinatario dos opciones: Abrir o Guardar Como,” escribió BleepingComputer en su informe.

“Sin embargo, al intentar abrir el archivo, WhatsApp para Windows genera un error, dejando a los usuarios solo la opción de guardar el archivo en el disco y lanzarlo desde allí.”

Das encontró tres tipos de archivos que el cliente de WhatsApp no bloquea al lanzarse, que son .PYZ (aplicación ZIP de Python), .PYZW (programa PyInstaller) y .EVTX (archivo de registro de eventos de Windows).

Cuando BleepingComputer realizó sus propias pruebas, encontró que WhatsApp no bloqueó la ejecución de archivos de Python ni scripts de PHP.

Si todas las características están presentes, el destinatario solo necesita hacer clic en el botón “Abrir” en el archivo recibido y ejecutar el script.

Das dice que la vulnerabilidad de seguridad en la última versión de WhatsApp para Windows permite la ejecución de código arbitrario al eludir las mitigaciones de seguridad existentes.

Sin embargo, para que la falla sea explotada, Python debe estar instalado en la computadora, lo que significa que esto podría limitar los objetivos a desarrolladores de software, investigadores y usuarios avanzados.

La vulnerabilidad de seguridad encontrada en WhatsApp para Windows fue reportada a Meta el 3 de junio de 2024.

Sin embargo, la compañía respondió el 15 de julio de 2024, diciendo que otro investigador ya había reportado el problema y que debería haber sido solucionado.

Cuando el investigador contactó a BleepingComputer, la falla aún estaba activa en la última versión de WhatsApp para Windows, v2.2428.10.0, que fue reproducida por la publicación en Windows 11.

“He reportado este problema a Meta a través de su programa de recompensas por errores, pero desafortunadamente, lo cerraron como N/A. Es decepcionante, ya que esta es una falla sencilla que podría ser fácilmente mitigada,” explicó el investigador.

Cuando BleepingComputer contactó a WhatsApp para obtener una explicación sobre el problema, WhatsApp desestimó el informe del investigador y dijo que no veían ningún riesgo de seguridad y que no estaban planeando una solución.

“Hemos leído lo que el investigador ha propuesto y apreciamos su presentación. El malware puede tomar muchas formas diferentes, incluyendo a través de archivos descargables destinados a engañar a un usuario,” dijo un portavoz de WhatsApp a BleepingComputer en un comunicado.

“Es por eso que advertimos a los usuarios que nunca hagan clic en o abran un archivo de alguien que no conocen, independientemente de cómo lo recibieron — ya sea a través de WhatsApp o cualquier otra aplicación.”

El representante de la compañía también explicó que WhatsApp tiene un sistema para notificar a los usuarios cuando reciben mensajes de personas que no están en sus contactos o cuyos números de teléfono están registrados en un país diferente.

Das expresó su descontento por cómo Meta ignoró su informe de vulnerabilidad y el problema de seguridad de WhatsApp. “Al simplemente agregar las extensiones .pyz y .pyzw a su lista de bloqueo, Meta puede prevenir la explotación potencial a través de estos archivos zip de Python,” dijo el investigador.

Sin embargo, al abordar el problema, WhatsApp “no solo mejoraría la seguridad de sus usuarios, sino que también demostraría su compromiso de resolver rápidamente las preocupaciones de seguridad,” agregó.

BleepingComputer, también, contactó a WhatsApp para notificarles que la extensión PHP tampoco está bloqueada, pero aún no ha recibido respuesta.

Hasta entonces, los usuarios de WhatsApp deben permanecer vigilantes, no abrir archivos sospechosos, especialmente aquellos de fuentes desconocidas, y siempre mantener el software actualizado.