Una vulnerabilità di WhatsApp per Windows può essere sfruttata per inviare script Python e PHP che verranno eseguiti senza un avviso di pericolo. Meta ha ricevuto la segnalazione da vari ricercatori di sicurezza, ma non rilascerà nessun fix. Il problema è simile a quello scoperto in Telegram Desktop a metà aprile.
Attenzione ai file ricevuti
Un ricercatore di sicurezza ha scoperto la vulnerabilità mentre effettuava test con diversi file. Inviando un file EXE, il destinatario vede due opzioni (Apri e Salva come), ma la prima genera un errore. WhatsApp per Windows blocca anche l’esecuzione dei file COM, SCR, BAT, Perl, DLL, HTA e VBS. L’unico modo per aprirli è salvarli prima sul computer.
WhatsApp per Windows non blocca invece in file PYZ, PYZW, EVTX e PHP. Se sul computer sono installate tutte le risorse necessarie (questo limita i rischi), cliccando su Apri viene eseguito automaticamente lo script, senza nessun errore o avviso di pericolo.
Il ricercatore ha segnalato il problema il 3 giugno. Meta ha risposto il 15 luglio, affermando che era arrivate altre segnalazioni. Il bug è ancora presente nell’ultima versione per Windows perché non è stato considerato un problema di sicurezza. Non è quindi previsto il rilascio di un fix. WhatsApp avvisa l’utente quando un messaggio arriva da uno sconosciuto non presente nei contatti e se il numero di telefono è registrato in un altro paese.
Tuttavia, se un cybercriminale riesce a prendere il controllo dell’account, questi avvisi non servono a nulla perché gli script arriveranno da un mittente conosciuto. La soluzione è piuttosto semplice, in quanto sarebbe sufficiente aggiungere le suddette estensioni alla blocklist.
