Um problema de segurança na versão mais recente do WhatsApp para Windows foi descoberto pelo pesquisador de segurança Saumyajeet Das. A vulnerabilidade foi identificada enquanto fazia experimentos com tipos de arquivo que poderiam ser anexados às conversas do mensageiro para ver se o aplicativo permite algum dos arquivos arriscados.
O pesquisador descobriu a falha na segurança permitia o envio de anexos Python e PHP que são executados sem nenhum aviso quando o destinatário os abre. Para que o ataque seja bem-sucedido, o Python deve estar instalado no sistema da vítima, o que pode limitar os alvos a desenvolvedores de software, pesquisadores e usuários avançados.
Embora o WhatsApp para Windows faça o bloqueio de vários tipos de arquivos considerados de risco aos usuários, o aplicativo não tem proteção contra esse caso específico.
De acordo com o pesquisador, ao enviar um arquivo potencialmente perigoso, como .EXE, o WhatsApp o exibe e dá ao destinatário duas opções: Abrir ou Salvar como. No entanto, ao tentar abrir o arquivo, o aplicativo gera um erro, deixando aos usuários apenas a opção de salvar o arquivo no disco e iniciá-lo a partir daí.
Nos testes, o WhatsApp para Windows apresentou comportamento consistente ao bloquear a execução de arquivos .EXE, .COM, .SCR, .BAT, e Perl diretamente pelo aplicativo, obrigando o usuário a salvar o arquivo no disco antes de executá-lo. No entanto, Das encontrou três tipos de arquivos que o WhatsApp não bloqueia: .PYZ (Python ZIP app), .PYZW (programa PyInstaller), e .EVTX (arquivo de log do Windows).
Das descobriu que o WhatsApp não bloqueia a execução de arquivos Python e o mesmo acontece com scripts PHP. Se todos os recursos estiverem presentes, tudo o que o destinatário precisa fazer é clicar no botão “Abrir” no arquivo recebido, e o script será executado.
O que diz o WhatsApp
O pesquisador comunicou a Meta sobre a falha na segurança do aplicativo, que respondeu que o problema já havia sido relatado por outro pesquisador.
“Relatei esse problema ao Meta por meio do programa de recompensa por bugs, mas, infelizmente, eles o encerraram como N/A. É decepcionante, pois essa é uma falha simples que poderia ser facilmente mitigada”, explicou Das.
Ao negar a correção da vulnerabilidade, o usuário do WhatsApp para Windows fica sem essa proteção. Por exemplo, se a conta for sequestrada, o invasor pode enviar para todos na lista de contatos scripts maliciosos que são mais fáceis de executar diretamente do aplicativo de mensagens.
Além disso, esses tipos de anexos podem ser postados em grupos de bate-papo públicos e privados, que podem ser usados por agentes de ameaças para espalhar arquivos maliciosos.