Una vulnerabilità di WhatsApp per Windows può essere sfruttata per inviare script Python e PHP che verranno eseguiti senza un avviso di pericolo. Meta ha ricevuto la segnalazione da vari ricercatori di sicurezza, ma non rilascerà nessun fix. Il problema è simile a quello scoperto in Telegram Desktop a metà aprile.
Attenzione ai file ricevuti
Un ricercatore di sicurezza ha scoperto la vulnerabilità mentre effettuava test con diversi file. Inviando un file EXE, il destinatario vede due opzioni (Apri e Salva come), ma la prima genera un errore. WhatsApp per Windows blocca anche l’esecuzione dei file COM, SCR, BAT, Perl, DLL, HTA e VBS. L’unico modo per aprirli è salvarli prima sul computer.
Esecuzione automatica di script
WhatsApp per Windows non blocca invece i file PYZ, PYZW, EVTX e PHP. Se sul computer sono installate tutte le risorse necessarie (questo limita i rischi), cliccando su Apri viene eseguito automaticamente lo script, senza nessun errore o avviso di pericolo.
| Estensione file | Comportamento |
|---|---|
| EXE | Genera errore |
| COM | Bloccato |
| SCR | Bloccato |
| BAT | Bloccato |
| Perl | Bloccato |
| DLL | Bloccato |
| HTA | Bloccato |
| VBS | Bloccato |
| PYZ | Eseguito |
| PYZW | Eseguito |
| EVTX | Eseguito |
| PHP | Eseguito |
Segnalazione e risposta di Meta
Il ricercatore ha segnalato il problema il 3 giugno. Meta ha risposto il 15 luglio, affermando che erano arrivate altre segnalazioni. Il bug è ancora presente nell’ultima versione per Windows perché non è stato considerato un problema di sicurezza. Non è quindi previsto il rilascio di un fix.
Sicurezza degli utenti
WhatsApp avvisa l’utente quando un messaggio arriva da uno sconosciuto non presente nei contatti e se il numero di telefono è registrato in un altro paese. Tuttavia, se un cybercriminale riesce a prendere il controllo dell’account, questi avvisi non servono a nulla perché gli script arriveranno da un mittente conosciuto. La soluzione è piuttosto semplice, in quanto sarebbe sufficiente aggiungere le suddette estensioni alla blocklist.
Rischi associati
La possibilità di eseguire script senza avviso rappresenta un serio rischio per la sicurezza degli utenti. Gli script possono essere utilizzati per una varietà di attacchi, tra cui il furto di dati, il controllo remoto del sistema, o l’installazione di malware. Gli utenti devono essere particolarmente cauti e evitare di aprire file sospetti ricevuti tramite WhatsApp, anche se provengono da contatti conosciuti.
La vulnerabilità di WhatsApp per Windows che consente l’esecuzione di script senza avviso rappresenta un grave problema di sicurezza. Nonostante Meta non abbia rilasciato un fix, è cruciale che gli utenti siano consapevoli dei rischi e adottino misure preventive. È auspicabile che future versioni di WhatsApp includano miglioramenti per evitare tali vulnerabilità e proteggere meglio gli utenti.
