Whatsapp su Windows può eseguire alcuni file potenzialmente pericolosi senza alcun avvertimento

Il ricercatore di sicurezza Saumyajeet Das ha scoperto una vulnerabilità nell'ultima versione di WhatsApp per Windows che consente l'esecuzione di eventuali allegati Python e PHP senza alcun avvertimento quando il destinatario li apre. Si tratta di un problema molto simile a quello riscontrato qualche mese fa nell'applicazione Telegram per Windows, che dopo un iniziale disinteresse è stato successivamente risolto.

Il problema è stato scoperto quando il ricercatore stava conducendo alcuni test sui tipi di file che potevano essere allegati alle conversazioni WhatsApp e in particolare per verificare se l'applicazione consentisse l'invio di alcuni file potenzialmente pericolosi. Quando si riceve un file considerato rischioso, come ad esempio un eseguibile .exe, normalmente WhatsApp lo mostra al destinatario proponendo due opzioni, "Apri" o "Salva". Se però l'utente sceglie di aprire il file, Whatsapp mostra un errore e di fatto lascia agli utenti l'unica possibilità di salvarlo su disco e avviarlo da lì.

Il ricercatore ha però identificato tre tipi di file potenzialmente pericolosi che è possibile aprire direttamente dal client Whatsapp senza che questi mostri alcun avvertimento: si tratta dei file .pyz, .pyzw e .evtx, rispettivamente app Python Zip, programi PyInstaller e file registro eventi di Windows. Si tratta di file potenzialmente pericolosi poichè nel caso in cui Python sia installato sul sistema del destinatario, si potrebbe verificare l'esecuzione di codice arbitrario.

Das ha segnalato il problema a Meta lo scorso 3 giugno, e l'azienda ha risposto il 15 luglio indicando che la vulnerabilità era già stata segnalata da un altro ricercatore di sicurezza. Das ha allora contattato il sito web BleepingComputer condividendo quanto scoperto e la risposta di Meta: "Ho segnalato questo problema a Meta tramite il loro programma bug bounty, ma sfortunatamente l'hanno chiuso come N/A. È spiacevole, poiché si tratta di un difetto semplice che potrebbe essere facilmente mitigato" ha osservato Das. BleepingComputer ha verificato che anche gli script PHP non vengono bloccati.

Dopo la segnalazione di Das, anche BleepingComputer ha riscontrato la presenza del problema nell'ultima versione di WhatsApp per Windows. Bleeping Computer ha contattato Meta per ulteriori chiarimenti, e un portavoce dell'azienda ha spiegato che la società non considera quanto segnalato da Das come un problema a cui dover porre rimedio: "Abbiamo letto ciò che il ricercatore ha proposto e apprezziamo la sua proposta. Il malware può assumere molte forme diverse, anche tramite file scaricabili pensati per ingannare un utente. È per questo che avvisiamo gli utenti di non cliccare mai o aprire un file da qualcuno che non conoscono, indipendentemente da come lo hanno ricevuto, sia tramite WhatsApp che tramite qualsiasi altra app".

La risoluzione del problema sarebbe estremamente semplice: è sufficiente che WhatsApp aggiunga le estensioni individuate da Das al loro elenco di file che non possono essere aperti direttamente dall'app.