WhatsApp Para Windows Permite Execução de Scripts Python & PHP Sem Aviso

Como uma das plataformas de mensagens instantâneas mais populares e amplamente utilizadas na Internet, o WhatsApp possui fortes medidas de segurança para bloquear os arquivos potencialmente perigosos, protegendo assim a privacidade e os dados dos usuários.

No entanto, uma vulnerabilidade de segurança recentemente descoberta na versão mais recente do WhatsApp para Windows permite que atacantes executem anexos Python e PHP em um computador sem qualquer aviso quando o destinatário os abre.

Essa vulnerabilidade do WhatsApp representa um risco significativo para os usuários, pois permite que atores de ameaças executem código malicioso diretamente no computador do destinatário.

O pesquisador de segurança Saumyajeet Das encontrou a vulnerabilidade na versão atual do WhatsApp para Windows enquanto testava diferentes tipos de arquivos que poderiam ser conectados a chats do WhatsApp para ver se o aplicativo permite algum dos mais complicados (via BleepingComputer).

“Quando se envia um arquivo potencialmente perigoso, como .EXE, o WhatsApp o exibe e dá ao destinatário duas opções: Abrir ou Salvar Como,” BleepingComputer escreveu em seu relatório.

“No entanto, ao tentar abrir o arquivo, o WhatsApp para Windows gera um erro, deixando aos usuários apenas a opção de salvar o arquivo no disco e lançá-lo a partir daí.”

Das encontrou três tipos de arquivos que o cliente do WhatsApp não bloqueia ao serem lançados, que são .PYZ (aplicativo Python ZIP), .PYZW (programa PyInstaller) e .EVTX (arquivo de Log de eventos do Windows).

Quando BleepingComputer realizou seus próprios testes, descobriu que o WhatsApp não bloqueou a execução de arquivos Python ou scripts PHP.

Se todos os recursos estiverem presentes, o destinatário só precisa clicar no botão “Abrir” no arquivo recebido e executar o script.

Das afirma que a vulnerabilidade de segurança na versão mais recente do WhatsApp para Windows permite a execução de código arbitrário ao contornar as mitig ações de segurança existentes.

No entanto, para que a falha seja explorada, o Python deve estar instalado no computador, o que significa que isso pode limitar os alvos a desenvolvedores de software, pesquisadores e usuários avançados.

A vulnerabilidade de segurança encontrada no WhatsApp para Windows foi relatada à Meta em 3 de junho de 2024.

No entanto, a empresa respondeu em 15 de julho de 2024, dizendo que outro pesquisador já havia relatado o problema e que ele deveria ter sido corrigido.

Quando o pesquisador contatou BleepingComputer, a falha ainda estava ativa na versão mais recente do WhatsApp para Windows, v2.2428.10.0, que foi reproduzida pela publicação no Windows 11.

“Eu relatei esse problema à Meta através do programa de recompensas por bugs deles, mas, infelizmente, eles o fecharam como N/A. É decepcionante, pois essa é uma falha simples que poderia ser facilmente mitigada,” explicou o pesquisador.

Quando BleepingComputer contatou o WhatsApp para uma explicação sobre o problema, o WhatsApp descartou o relatório do pesquisador e disse que não via risco de segurança e não estava planejando uma correção.

“Lemos o que o pesquisador propôs e apreciamos sua submissão. O malware pode assumir muitas formas diferentes, incluindo através de arquivos baixáveis destinados a enganar um usuário,” disse um porta-voz do WhatsApp ao BleepingComputer em um comunicado.

“É por isso que alertamos os usuários a nunca clicar ou abrir um arquivo de alguém que não conhecem, independentemente de como o receberam — seja pelo WhatsApp ou qualquer outro aplicativo.”

O representante da empresa também explicou que o WhatsApp possui um sistema para notificar os usuários quando recebem mensagens de pessoas que não estão em seus contatos ou cujos números de telefone estão registrados em um país diferente.

Das expressou descontentamento com a forma como a Meta ignorou seu relatório de vulnerabilidade e o problema de segurança do WhatsApp. “Ao simplesmente adicionar as extensões .pyz e .pyzw à sua lista de bloqueio, a Meta pode prevenir a exploração potencial através desses arquivos zip Pythonicos,” disse o pesquisador.

No entanto, ao abordar o problema, o WhatsApp “não apenas melhoraria a segurança de seus usuários, mas também demonstraria seu compromisso em resolver prontamente preocupações de segurança,” acrescentou.

BleepingComputer, também, contatou o WhatsApp para notificá-los de que a extensão PHP também não está bloqueada, mas ainda não recebeu uma resposta.

Até lá, os usuários do WhatsApp devem permanecer vigilantes, não abrir arquivos suspeitos, especialmente aqueles de fontes desconhecidas, e sempre manter o software atualizado.