WhatsApp Per Windows Consente L'esecuzione Di Script Python & PHP Senza Avviso

Come una delle piattaforme di messaggistica istantanea più popolari e ampiamente utilizzate su Internet, WhatsApp ha forti misure di sicurezza per bloccare i file potenzialmente pericolosi, proteggendo così la privacy e i dati degli utenti.

Tuttavia, una vulnerabilità di sicurezza recentemente scoperta nell’ultima versione di WhatsApp per Windows consente agli attaccanti di eseguire allegati Python e PHP su un computer senza alcun avviso quando il destinatario li apre.

Questa vulnerabilità di WhatsApp rappresenta un rischio significativo per gli utenti, poiché consente agli attori della minaccia di eseguire codice malevolo direttamente sul computer del destinatario.

Il ricercatore di sicurezza Saumyajeet Das ha trovato la vulnerabilità nell’attuale versione di WhatsApp per Windows mentre testava diversi tipi di file che potrebbero essere collegati alle chat di WhatsApp per vedere se l’app consente alcuni di quelli più complicati (via BleepingComputer).

“Quando si invia un file potenzialmente pericoloso, come .EXE, WhatsApp lo mostra e dà al destinatario due opzioni: Apri o Salva con nome,” ha scritto BleepingComputer nel suo rapporto.

“Tuttavia, quando si tenta di aprire il file, WhatsApp per Windows genera un errore, lasciando agli utenti solo l’opzione di salvare il file su disco e lanciarlo da lì.”

Das ha trovato tre tipi di file che il client WhatsApp non blocca dall’avvio, che sono .PYZ (app Python ZIP), .PYZW (programma PyInstaller) e .EVTX (file di registro eventi di Windows).

Quando BleepingComputer ha effettuato i propri test, ha scoperto che WhatsApp non bloccava l’esecuzione di file Python o script PHP.

Se tutte le funzionalità sono presenti, il destinatario deve semplicemente fare clic sul pulsante “Apri” sul file ricevuto e eseguire lo script.

Das afferma che la vulnerabilità di sicurezza nell’ultima versione di WhatsApp per Windows consente l’esecuzione di codice arbitrario bypassando le mitigazioni di sicurezza esistenti.

Tuttavia, affinché la vulnerabilità venga sfruttata, Python deve essere installato sul computer, il che significa che questo potrebbe limitare i bersagli a sviluppatori software, ricercatori e utenti avanzati.

La vulnerabilità di sicurezza trovata su WhatsApp per Windows è stata segnalata a Meta il 3 giugno 2024.

Tuttavia, la società ha risposto il 15 luglio 2024, dicendo che un altro ricercatore aveva già segnalato il problema e che avrebbe dovuto essere risolto.

Quando il ricercatore ha contattato BleepingComputer, la vulnerabilità era ancora attiva nell’ultima versione di WhatsApp per Windows, v2.2428.10.0, che è stata riprodotta dalla pubblicazione su Windows 11.

“Ho segnalato questo problema a Meta attraverso il loro programma di bug bounty, ma sfortunatamente, l’hanno chiuso come N/A. È deludente, poiché si tratta di una vulnerabilità semplice che potrebbe essere facilmente mitigata,” ha spiegato il ricercatore.

Quando BleepingComputer ha contattato WhatsApp per una spiegazione riguardo al problema, WhatsApp ha respinto il rapporto del ricercatore e ha detto che non vedevano alcun rischio per la sicurezza e non stavano pianificando una correzione.

“Abbiamo letto ciò che il ricercatore ha proposto e apprezziamo la sua segnalazione. Il malware può assumere molte forme diverse, anche attraverso file scaricabili destinati a ingannare un utente,” ha dichiarato un portavoce di WhatsApp a BleepingComputer in una dichiarazione.

“È per questo che avvisiamo gli utenti di non fare mai clic su o aprire un file da qualcuno che non conoscono, indipendentemente da come lo hanno ricevuto — sia tramite WhatsApp che qualsiasi altra app.”

Il rappresentante dell’azienda ha anche spiegato che WhatsApp ha un sistema per notificare gli utenti quando ricevono messaggi da persone che non sono nei loro contatti o i cui numeri di telefono sono registrati in un altro paese.

Das ha espresso dispiacere per come Meta ha ignorato il suo rapporto sulla vulnerabilità e il problema di sicurezza di WhatsApp. “Aggiungendo semplicemente le estensioni .pyz e .pyzw alla loro lista di blocco, Meta può prevenire potenziali sfruttamenti attraverso questi file zip Pythonici,” ha detto il ricercatore.

Tuttavia, affrontando il problema, WhatsApp “non solo migliorerebbe la sicurezza dei propri utenti, ma dimostrerebbe anche il proprio impegno a risolvere prontamente le preoccupazioni relative alla sicurezza,” ha aggiunto.

BleepingComputer, inoltre, ha contattato WhatsApp per notificare che anche l’estensione PHP non è bloccata, ma non ha ancora ricevuto risposta.

Fino ad allora, gli utenti di WhatsApp dovrebbero rimanere vigili, non aprire file sospetti, specialmente quelli provenienti da fonti sconosciute, e mantenere sempre il software aggiornato.