Uma falha na mais recente versão do WhatsApp para Windows permite que anexos em Python e PHP seja enviados e executados automaticamente, sem qualquer prévio aviso, assim que o destinatário os abre.
Para que o ataque tenha sucesso, é necessário que o Python esteja instalado no sistema da vítima, o que pode restringir os alvos a desenvolvedores de software, pesquisadores e usuários com conhecimentos avançados.
Esse problema é parecido com um outro que afetou o Telegram para Windows no início do ano.
Nesse caso, os atacantes podiam executar códigos remotamente enviando arquivos Python (.pyzw) por meio do cliente de mensagens, uma vulnerabilidade que foi corrigida posteriormente.
Saumyajeet Das reportou a falha para a Meta em 3 de junho, e a empresa respondeu em 15 de julho, dizendo que a vulnerabilidade já tinha sido reportada previamente por outro pesquisador.
A Meta não classificou a vulnerabilidade como crítica e não tem planos de adicionar scripts Python à sua lista de bloqueio.
Um representante da empresa explicou que o WhatsApp já possui um sistema para alertar os usuários quando estes recebem mensagens de números desconhecidos ou de outros países.
Porém, enfatizou a importância de os usuários não clicarem em arquivos enviados por remetentes desconhecidos, independentemente do aplicativo.
Se uma conta de usuário for comprometida, o atacante pode enviar scripts mal-intencionados para todos os contatos, possibilitando a execução direta desses arquivos pelo aplicativo de mensagens.
Além disso, esses tipos de anexos poderiam ser disseminados em grupos de bate-papo tanto públicos quanto privados, aumentando significativamente o risco.
Das expressou sua insatisfação com a resposta da Meta, sugerindo que simplesmente adicionando as extensões .pyz e .pyzw à lista de bloqueio, poderia prevenir explorações potenciais e elevar a segurança dos usuários.
Nos testes realizados, foi observado que o WhatsApp para Windows manteve um comportamento consistente em bloquear a execução de arquivos .EXE, .COM, .SCR, .BAT e Perl diretamente pelo aplicativo, exigindo que o usuário salve o arquivo no disco antes de executá-lo.
No entanto, Das identificou três tipos de arquivos que o WhatsApp não bloqueia: .PYZ (Python ZIP app), .PYZW (programa PyInstaller) e .EVTX (arquivo de log do Windows).
Se estiverem presentes todos os requisitos necessários, basta o destinatário clicar no botão “Abrir” para que o script seja executado.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...