Una grave vulnerabilità è stata scoperta nell’ultima versione di WhatsApp per Windows, consentendo l’invio di allegati Python e PHP che vengono eseguiti senza alcun avviso quando il destinatario li apre. Questo problema richiede che Python sia installato sul sistema del destinatario, restringendo potenzialmente il campo degli utenti a sviluppatori software, ricercatori e utenti avanzati. La falla rispecchia un problema analogo riscontrato su Telegram per Windows ad aprile, successivamente corretto, dove gli attaccanti potevano aggirare gli avvisi di sicurezza ed eseguire codice remoto inviando un file Python .pyzw tramite il client di messaggistica.
WhatsApp e la sua vulnerabilità ignorata
WhatsApp, che già blocca vari tipi di file considerati rischiosi, ha dichiarato a BleepingComputer di non avere intenzione di aggiungere gli script Python alla lista dei file bloccati. La vulnerabilità è stata individuata dal ricercatore di sicurezza Saumyajeet Das durante un test sui tipi di file che potevano essere allegati alle conversazioni WhatsApp per verificare se l’applicazione consentisse l’invio di file potenzialmente pericolosi.
Attualmente, quando si invia un file potenzialmente dannoso come un .EXE, WhatsApp offre due opzioni: “Apri” o “Salva con nome“. Tuttavia, tentando di aprire il file direttamente dall’app, si genera un errore, costringendo l’utente a salvare il file sul disco e a lanciarlo da lì. Nei test di BleepingComputer, questo comportamento è stato verificato per file .EXE, .COM, .SCR, .BAT e Perl, confermando che l’esecuzione è possibile solo dopo averli salvati.
Das ha segnalato la vulnerabilità a Meta il 3 giugno, ricevendo risposta il 15 luglio, dove l’azienda affermava che il problema era già stato segnalato da un altro ricercatore. Al momento del contatto con BleepingComputer, la falla era ancora presente nell’ultima versione di WhatsApp per Windows. Un portavoce di WhatsApp ha dichiarato che non considerano il problema come una falla di sicurezza e quindi non ci sono piani per una correzione. L’azienda ha sottolineato l’importanza di non aprire file provenienti da sconosciuti.
Un pericolo di facile diffusione
Il pericolo aumenta se l’account di un utente viene violato: un attaccante potrebbe inviare script dannosi a tutti i contatti, facilitando l’esecuzione direttamente dall’app. Inoltre, questi allegati potrebbero essere condivisi in gruppi di chat, sfruttati da malintenzionati per diffondere file dannosi. Das ha espresso delusione per la gestione del problema da parte di Meta, sostenendo che un semplice blocco delle estensioni .pyz e .pyzw avrebbe potuto prevenire potenziali attacchi.