واتساب يتيح لنظام Windows تشغيل نصوص Python وPHP دون تحذير

تسمح مشكلة أمنية في أحدث إصدار من WhatsApp لنظام Windows بإرسال مرفقات Python وPHP يتم تنفيذها دون أي تحذير عند فتح المستلم لها.

لكي ينجح الهجوم، يجب تثبيت Python، وهو شرط أساسي قد يحد من الأهداف لمطوري البرامج والباحثين والمستخدمين المحترفين.

المشكلة مماثلة لتلك التي أثرت على Telegram لنظام Windows في أبريل، والتي تم رفضها في البداية ولكن تم إصلاحها لاحقًا، حيث يمكن للمهاجمين تجاوز تحذيرات الأمان وتنفيذ التعليمات البرمجية عن بُعد عند إرسال ملف Python .pyzw من خلال عميل المراسلة.
يحظر WhatsApp أنواع ملفات متعددة يُعتقد أنها تحمل مخاطر للمستخدمين، لكن الشركة أخبرت BleepingComputer أنها لا تخطط لإضافة نصوص Python إلى القائمة.

أظهرت الاختبارات الإضافية التي أجراها BleepingComputer أن ملفات PHP (.php) ليست مدرجة أيضًا في قائمة حظر WhatsApp.

لم يتم حظر البرامج النصية الخاصة بلغة Python وPHP
اكتشف الباحث الأمني ​​Saumyajeet Das الثغرة أثناء تجربته على أنواع الملفات التي يمكن إرفاقها بمحادثات WhatsApp لمعرفة ما إذا كان التطبيق يسمح بأي من الملفات الخطرة.
ومع ذلك، عند محاولة فتح الملف، يُنشئ WhatsApp لنظام التشغيل Windows خطأ، مما يترك للمستخدمين خيار حفظ الملف على القرص وتشغيله من هناك فقط.

في اختبارات BleepingComputer، كان هذا السلوك متوافقًا مع أنواع الملفات .EXE و.COM و.SCR و.BAT وPerl باستخدام عميل WhatsApp لنظام التشغيل Windows. وجد Das أن WhatsApp يحظر أيضًا تنفيذ .DLL و.HTA وVBS.

في جميعها، حدث خطأ عند محاولة تشغيلها مباشرة من التطبيق بالنقر فوق "فتح". كان تنفيذها ممكنًا فقط بعد الحفظ على القرص أولاً.

أكدت اختبارات BleepingComputer أن WhatsApp لا يمنع تنفيذ ملفات Python واكتشفت أن نفس الشيء يحدث مع نصوص PHP.

إذا كانت جميع الموارد موجودة، فكل ما يحتاجه المستلم هو النقر فوق الزر "فتح" في الملف المستلم، ويتم تنفيذ النص.

أبلغ Das عن المشكلة إلى Meta في 3 يونيو وردت الشركة في 15 يوليو قائلة إن المشكلة قد تم الإبلاغ عنها بالفعل من قبل باحث آخر وكان يجب إصلاحها بالفعل.

عندما اتصل الباحث بـ BleepingComputer، كان الخلل لا يزال موجودًا في أحدث إصدار من WhatsApp لنظام التشغيل Windows، ويمكننا إعادة إنتاجه على Windows 11، v2.2428.10.0.

"لقد أبلغت عن هذه المشكلة إلى Meta من خلال برنامج مكافأة الأخطاء الخاص بهم، ولكن للأسف، قاموا بإغلاقها باعتبارها غير متاحة. إنه أمر مخيب للآمال، لأن هذا خلل واضح يمكن تخفيفه بسهولة"، أوضح الباحث.

تواصلت BleepingComputer مع WhatsApp للحصول على توضيح حول سبب رفض تقرير الباحث، وأوضح المتحدث باسمهم أنهم لم يروا ذلك كمشكلة من جانبهم، لذلك لم تكن هناك خطط لإصلاحها:

"لقد قرأنا ما اقترحه الباحث ونقدر إرساله. يمكن أن تتخذ البرامج الضارة أشكالًا مختلفة عديدة، بما في ذلك من خلال الملفات القابلة للتنزيل والمقصود بها خداع المستخدم".

"لهذا السبب نحذر المستخدمين من عدم النقر فوق أو فتح ملف من شخص لا يعرفونه، بغض النظر عن كيفية استلامه - سواء عبر WhatsApp أو أي تطبيق آخر."

وأوضح ممثل الشركة أيضًا أن WhatsApp لديه نظام لتحذير المستخدمين عندما يتلقون رسائل من مستخدمين ليسوا في قوائم جهات الاتصال الخاصة بهم، أو لديهم أرقام هواتف مسجلة في بلد مختلف.

ومع ذلك، إذا تم اختطاف حساب المستخدم، يمكن للمهاجم إرسال نصوص ضارة إلى كل شخص في قائمة جهات الاتصال والتي يسهل تنفيذها مباشرة من تطبيق المراسلة.

وعلاوة على ذلك، يمكن نشر هذه الأنواع من المرفقات في مجموعات الدردشة العامة والخاصة، والتي يمكن إساءة استخدامها من قبل الجهات الفاعلة المهددة لنشر الملفات الضارة.

وردًا على رفض WhatsApp للتقرير، أعرب Das عن خيبة أمله في كيفية تعامل المشروع مع الموقف.

"ببساطة من خلال إضافة امتدادات .pyz و.pyzw إلى قائمة الحظر الخاصة بهم، يمكن لـ Meta منع الاستغلال المحتمل من خلال هذه وقال الباحث "ملفات zip التي تعمل ببرمجة Python"، وأضاف أنه من خلال معالجة هذه المشكلة، فإن WhatsApp "لن يعزز أمن مستخدميه فحسب، بل سيُظهر أيضًا التزامه بحل المخاوف الأمنية على الفور.