WhatsApp para Windows: falha grave permite execução de scripts maliciosos
Uma falha no WhatsApp para Windows permite a execução de scripts Python e PHP sem aviso ao usuário, acusa pesquisador de segurança
Uma vulnerabilidade na versão mais recente do WhatsApp para Windows permite o envio de anexos em Python e PHP que são executados automaticamente, sem qualquer aviso, quando o destinatário os abre. Para que o ataque seja bem-sucedido, é necessário que o Python esteja instalado no sistema da vítima, o que pode limitar os alvos a desenvolvedores de software, pesquisadores e usuários avançados.
O problema é semelhante ao que afetou o Telegram para Windows no começo do ano, onde os atacantes podiam executar remotamente códigos ao enviar arquivos Python (.pyzw) através do cliente de mensagens, uma falha que foi corrigida posteriormente.
WhatsApp não bloqueia scripts em Python e PHP
O pesquisador de segurança Saumyajeet Das descobriu essa vulnerabilidade ao testar diferentes tipos de arquivos que poderiam ser anexados em conversas no WhatsApp para ver se o aplicativo permitiria o envio de arquivos potencialmente perigosos.
Nos testes, o WhatsApp para Windows apresentou comportamento consistente ao bloquear a execução de arquivos .EXE, .COM, .SCR, .BAT, e Perl diretamente pelo aplicativo, obrigando o usuário a salvar o arquivo no disco antes de executá-lo.
No entanto, Das encontrou três tipos de arquivos que o WhatsApp não bloqueia: .PYZ (Python ZIP app), .PYZW (programa PyInstaller), e .EVTX (arquivo de log do Windows).
O Bleeping Computer confirmou que o WhatsApp não bloqueia a execução de arquivos Python e descobriu que o mesmo ocorre com scripts PHP.
Se todos os recursos necessários estiverem presentes, o destinatário só precisa clicar no botão “Abrir” para que o script seja executado.
Resposta do WhatsApp e preocupações de segurança
Das relatou o problema à Meta em 3 de junho, e a empresa respondeu em 15 de julho, informando que a falha já havia sido reportada por outro pesquisador. A Meta não considerou a vulnerabilidade como uma falha crítica e não planeja adicionar scripts Python à lista de bloqueio.
Ana Luiza Figueiredo