تسمح مشكلة أمنية في أحدث إصدار من تطبيق WhatsApp لنظام التشغيل Windows بإرسال مرفقات Python وPHP يتم تنفيذها دون أي تحذير عندما يفتحها المستلم.
لكي يكون الهجوم ناجحًا، يجب تثبيت Python، وهو شرط أساسي قد يحد من الأهداف لتقتصر على مطوري البرامج والباحثين والمستخدمين المحترفين.
المشكلة مشابهة لتلك التي أثرت على Telegram لنظام التشغيل Windows في أبريل، والتي كانت تم رفضه في البداية ولكن تم إصلاحه لاحقًا، حيث يمكن للمهاجمين تجاوز تحذيرات الأمان وتنفيذ التعليمات البرمجية عن بعد عند إرسال ملف Python .pyzw عبر عميل المراسلة.
تقوم WhatsApp بحظر أنواع متعددة من الملفات التي يُعتقد أنها تشكل خطورة على المستخدمين، لكن الشركة أخبرت BleepingComputer أنها لا تخطط لإضافة نصوص Python إلى القائمة.
وتظهر الاختبارات الإضافية التي أجراها BleepingComputer أن ملفات PHP (.php) ليست مدرجة أيضًا في القائمة المحظورة الخاصة بـ WhatsApp.
لم يتم حظر البرامج النصية الخاصة بـ Python وPHP
باحث أمني سومياجيت داستم العثور على الثغرة الأمنية أثناء تجربة أنواع الملفات التي يمكن إرفاقها بمحادثات WhatsApp لمعرفة ما إذا كان التطبيق يسمح بأي من الأنواع الخطرة.
عند إرسال ملف يحتمل أن يكون خطيرًا، مثل .EXE، يعرضه WhatsApp ويمنح المتلقي خيارين: فتح أو حفظ باسم.
المصدر: BleepingComputer.com
ومع ذلك، عند محاولة فتح الملف، يُنشئ تطبيق WhatsApp لنظام التشغيل Windows خطأً، مما يترك للمستخدمين خيار حفظ الملف على القرص وتشغيله من هناك فقط.
في اختبارات BleepingComputer، كان هذا السلوك متوافقًا مع أنواع الملفات .EXE و.COM و.SCR و.BAT وPerl باستخدام عميل WhatsApp لنظام التشغيل Windows. وجد Das أن WhatsApp يمنع أيضًا تنفيذ ملفات .DLL و.HTA وVBS.
بالنسبة لجميع هذه البرامج، حدث خطأ عند محاولة تشغيلها مباشرة من التطبيق بالنقر فوق “فتح”. ولم يكن تنفيذها ممكنًا إلا بعد الحفظ على القرص أولاً.
المصدر: BleepingComputer
وفي حديثه إلى BleepingComputer، قال Das إنه وجد ثلاثة أنواع من الملفات لا يمنع عميل WhatsApp من التشغيل: .PYZ (تطبيق Python ZIP)، و.PYZW (برنامج PyInstaller)، و.EVTX (ملف سجل أحداث Windows).
وأكدت الاختبارات التي أجراها موقع BleepingComputer أن WhatsApp لا يمنع تنفيذ ملفات Python واكتشف أن الأمر نفسه يحدث مع نصوص PHP.
إذا كانت كافة الموارد موجودة، كل ما يحتاج المستلم إلى فعله هو النقر فوق الزر “فتح” في الملف المستلم، وسيتم تنفيذ البرنامج النصي.
وأبلغ داس شركة ميتا بالمشكلة في 3 يونيو/حزيران، وردت الشركة في 15 يوليو/تموز قائلة إن المشكلة تم الإبلاغ عنها بالفعل من قبل باحث آخر.
عندما اتصل الباحث بـ BleepingComputer، كان الخطأ لا يزال موجودًا في أحدث إصدار من WhatsApp لنظام التشغيل Windows، وتمكنا من إعادة إنتاجه على Windows 11، v2.2428.10.0.
“لقد أبلغت شركة Meta عن هذه المشكلة من خلال برنامج مكافأة الأخطاء الخاص بها، ولكن لسوء الحظ قاموا بإغلاقها باعتبارها غير متاحة. إنه أمر مخيب للآمال، لأن هذا خلل واضح يمكن التخفيف منه بسهولة”، أوضح الباحث.
تواصل موقع BleepingComputer مع WhatsApp للحصول على توضيح حول سبب رفض تقرير الباحث، وأوضح المتحدث باسم الشركة أنهم لم يروا ذلك كمشكلة من جانبهم، لذلك لم تكن هناك خطط لإصلاحها:
“لقد قرأنا ما اقترحه الباحث ونقدر مساهمته. يمكن أن تتخذ البرامج الضارة أشكالاً مختلفة، بما في ذلك من خلال الملفات القابلة للتنزيل والمقصود بها خداع المستخدم.”
“لهذا السبب نحذر المستخدمين من عدم النقر على ملف أو فتحه من شخص لا يعرفونه، بغض النظر عن كيفية استلامه – سواء عبر WhatsApp أو أي تطبيق آخر.”
وأوضح ممثل الشركة أيضًا أن واتساب لديه نظام لتحذير المستخدمين عندما يتلقون رسائل من مستخدمين ليسوا في قوائم جهات الاتصال الخاصة بهم، أو لديهم أرقام هواتف مسجلة في بلد مختلف.
ومع ذلك، إذا تم اختراق حساب المستخدم، يمكن للمهاجم إرسال نصوص ضارة إلى كل شخص في قائمة جهات الاتصال، والتي من السهل تنفيذها مباشرة من تطبيق المراسلة.
علاوة على ذلك، من الممكن نشر هذه الأنواع من المرفقات في مجموعات الدردشة العامة والخاصة، والتي يمكن إساءة استخدامها من قبل الجهات الفاعلة المهددة لنشر الملفات الضارة.
وردًا على رفض واتساب للتقرير، أعرب داس عن خيبة أمله في كيفية تعامل المشروع مع الوضع.
قال الباحث: “ببساطة عن طريق إضافة امتدادات .pyz و.pyzw إلى قائمة الحظر الخاصة بهم، يمكن لـ Meta منع الاستغلال المحتمل من خلال ملفات zip Pythonic هذه”.
وأضاف أن معالجة هذه القضية “لن تؤدي فقط إلى تعزيز أمن مستخدميها، بل ستظهر أيضا التزامها بحل المخاوف الأمنية على الفور”.
اتصلت BleepingComputer بـ WhatsApp لتنبيههم إلى أن امتداد PHP ليس محظورًا أيضًا، لكنها لم تتلق ردًا حتى الآن.