Tudo sobre WhatsApp
Uma vulnerabilidade na versão mais recente do WhatsApp para Windows permite o envio de anexos em Python e PHP que são executados automaticamente, sem qualquer aviso, quando o destinatário os abre. Para que o ataque seja bem-sucedido, é necessário que o Python esteja instalado no sistema da vítima, o que pode limitar os alvos a desenvolvedores de software, pesquisadores e usuários avançados.
O problema é semelhante ao que afetou o Telegram para Windows no começo do ano, onde os atacantes podiam executar remotamente códigos ao enviar arquivos Python (.pyzw) através do cliente de mensagens, uma falha que foi corrigida posteriormente.
WhatsApp não bloqueia scripts em Python e PHP
- O pesquisador de segurança Saumyajeet Das descobriu essa vulnerabilidade ao testar diferentes tipos de arquivos que poderiam ser anexados em conversas no WhatsApp para ver se o aplicativo permitiria o envio de arquivos potencialmente perigosos.
- Nos testes, o WhatsApp para Windows apresentou comportamento consistente ao bloquear a execução de arquivos .EXE, .COM, .SCR, .BAT, e Perl diretamente pelo aplicativo, obrigando o usuário a salvar o arquivo no disco antes de executá-lo.
- No entanto, Das encontrou três tipos de arquivos que o WhatsApp não bloqueia: .PYZ (Python ZIP app), .PYZW (programa PyInstaller), e .EVTX (arquivo de log do Windows).
- O Bleeping Computer confirmou que o WhatsApp não bloqueia a execução de arquivos Python e descobriu que o mesmo ocorre com scripts PHP.
- Se todos os recursos necessários estiverem presentes, o destinatário só precisa clicar no botão “Abrir” para que o script seja executado.
Resposta do WhatsApp e preocupações de segurança
Das relatou o problema à Meta em 3 de junho, e a empresa respondeu em 15 de julho, informando que a falha já havia sido reportada por outro pesquisador. A Meta não considerou a vulnerabilidade como uma falha crítica e não planeja adicionar scripts Python à lista de bloqueio.
Um porta-voz da empresa explicou que o WhatsApp já possui um sistema para alertar os usuários quando recebem mensagens de números desconhecidos ou de outros países, mas enfatizou a importância de os usuários não clicarem em arquivos de remetentes desconhecidos, independentemente do aplicativo usado.
Lemos o que o pesquisador propôs e apreciamos sua submissão. Malware pode assumir várias formas, incluindo arquivos baixáveis destinados a enganar o usuário. É por isso que alertamos os usuários a nunca clicarem ou abrirem um arquivo de alguém que não conhecem, independentemente de como o receberam — seja pelo WhatsApp ou por qualquer outro aplicativo.
WhatsApp em resposta ao Bleeping Computer
Possíveis formas de ataque
Se uma conta de usuário for sequestrada, o atacante pode enviar scripts maliciosos para todos os contatos, facilitando a execução direta desses arquivos a partir do aplicativo de mensagens. Além disso, esses tipos de anexos poderiam ser compartilhados em grupos de bate-papo públicos e privados, representando um risco significativo.
Das expressou sua decepção com a resposta da Meta, sugerindo que a simples adição das extensões .pyz e .pyzw à lista de bloqueio poderia prevenir explorações potenciais e melhorar a segurança dos usuários.
O Bleeping Computer afirma que a Meta não respondeu ao alerta emitido pelo veículo sobre a execução de arquivos PHP. O Olhar Digital entrou em contato com o WhatsApp e com a Microsoft pedindo um comentário sobre estas vulnerabilidades. Atualizaremos esta publicação em caso de retorno das empresas.