يتيح تطبيق WhatsApp لنظام Windows تشغيل نصوص Python وPHP دون تحذير
تاريخ النشر: 28th, July 2024 GMT
تسمح مشكلة أمنية في أحدث إصدار من WhatsApp لنظام Windows بإرسال مرفقات Python وPHP يتم تنفيذها دون أي تحذير عند فتح المستلم لها.
لكي ينجح الهجوم، يجب تثبيت Python، وهو شرط أساسي قد يحد من الأهداف لمطوري البرامج والباحثين والمستخدمين المحترفين.
المشكلة مماثلة لتلك التي أثرت على Telegram لنظام Windows في أبريل، والتي تم رفضها في البداية ولكن تم إصلاحها لاحقًا، حيث يمكن للمهاجمين تجاوز تحذيرات الأمان وتنفيذ التعليمات البرمجية عن بُعد عند إرسال ملف Python .
يحتوي شريط مهام Windows 11 على ميزة "إنهاء المهمة" المخفية، كيف يتم تشغيلها
يحظر WhatsApp أنواع ملفات متعددة يُعتقد أنها تحمل مخاطر للمستخدمين، لكن الشركة أخبرت BleepingComputer أنها لا تخطط لإضافة نصوص Python إلى القائمة.
أظهرت الاختبارات الإضافية التي أجراها BleepingComputer أن ملفات PHP (.php) ليست مدرجة أيضًا في قائمة حظر WhatsApp.
لم يتم حظر البرامج النصية الخاصة بلغة Python وPHP
اكتشف الباحث الأمني Saumyajeet Das الثغرة أثناء تجربته على أنواع الملفات التي يمكن إرفاقها بمحادثات WhatsApp لمعرفة ما إذا كان التطبيق يسمح بأي من الملفات الخطرة.
عند إرسال ملف خطير محتمل، مثل .EXE، يعرضه WhatsApp ويمنح المتلقي خيارين: فتح أو حفظ باسم.
خيارات WhatsApp للملفات القابلة للتنفيذ
خيارات WhatsApp للملفات القابلة للتنفيذ
المصدر: BleepingComputer.com
ومع ذلك، عند محاولة فتح الملف، يُنشئ WhatsApp لنظام التشغيل Windows خطأ، مما يترك للمستخدمين خيار حفظ الملف على القرص وتشغيله من هناك فقط.
في اختبارات BleepingComputer، كان هذا السلوك متوافقًا مع أنواع الملفات .EXE و.COM و.SCR و.BAT وPerl باستخدام عميل WhatsApp لنظام التشغيل Windows. وجد Das أن WhatsApp يحظر أيضًا تنفيذ .DLL و.HTA وVBS.
في جميعها، حدث خطأ عند محاولة تشغيلها مباشرة من التطبيق بالنقر فوق "فتح". كان تنفيذها ممكنًا فقط بعد الحفظ على القرص أولاً.
فشل تشغيل .EXE من عميل WhatsApp
فشل تشغيل .EXE من عميل WhatsApp
المصدر: BleepingComputer
في حديثه إلى BleepingComputer، قال Das إنه وجد ثلاثة أنواع من الملفات لا يمنع عميل WhatsApp من التشغيل: .PYZ (تطبيق Python ZIP)، و.PYZW (برنامج PyInstaller)، و.EVTX (ملف سجل أحداث Windows).
أكدت اختبارات BleepingComputer أن WhatsApp لا يمنع تنفيذ ملفات Python واكتشفت أن نفس الشيء يحدث مع نصوص PHP.
إذا كانت جميع الموارد موجودة، فكل ما يحتاجه المستلم هو النقر فوق الزر "فتح" في الملف المستلم، ويتم تنفيذ النص.
أبلغ Das عن المشكلة إلى Meta في 3 يونيو وردت الشركة في 15 يوليو قائلة إن المشكلة قد تم الإبلاغ عنها بالفعل من قبل باحث آخر وكان يجب إصلاحها بالفعل.
عندما اتصل الباحث بـ BleepingComputer، كان الخلل لا يزال موجودًا في أحدث إصدار من WhatsApp لنظام التشغيل Windows، ويمكننا إعادة إنتاجه على Windows 11، v2.2428.10.0.
"لقد أبلغت عن هذه المشكلة إلى Meta من خلال برنامج مكافأة الأخطاء الخاص بهم، ولكن للأسف، قاموا بإغلاقها باعتبارها غير متاحة. إنه أمر مخيب للآمال، لأن هذا خلل واضح يمكن تخفيفه بسهولة"، أوضح الباحث.
تواصلت BleepingComputer مع WhatsApp للحصول على توضيح حول سبب رفض تقرير الباحث، وأوضح المتحدث باسمهم أنهم لم يروا ذلك كمشكلة من جانبهم، لذلك لم تكن هناك خطط لإصلاحها:
"لقد قرأنا ما اقترحه الباحث ونقدر إرساله. يمكن أن تتخذ البرامج الضارة أشكالًا مختلفة عديدة، بما في ذلك من خلال الملفات القابلة للتنزيل والمقصود بها خداع المستخدم".
"لهذا السبب نحذر المستخدمين من عدم النقر فوق أو فتح ملف من شخص لا يعرفونه، بغض النظر عن كيفية استلامه - سواء عبر WhatsApp أو أي تطبيق آخر."
وأوضح ممثل الشركة أيضًا أن WhatsApp لديه نظام لتحذير المستخدمين عندما يتلقون رسائل من مستخدمين ليسوا في قوائم جهات الاتصال الخاصة بهم، أو لديهم أرقام هواتف مسجلة في بلد مختلف.
ومع ذلك، إذا تم اختطاف حساب المستخدم، يمكن للمهاجم إرسال نصوص ضارة إلى كل شخص في قائمة جهات الاتصال والتي يسهل تنفيذها مباشرة من تطبيق المراسلة.
وعلاوة على ذلك، يمكن نشر هذه الأنواع من المرفقات في مجموعات الدردشة العامة والخاصة، والتي يمكن إساءة استخدامها من قبل الجهات الفاعلة المهددة لنشر الملفات الضارة.
وردًا على رفض WhatsApp للتقرير، أعرب Das عن خيبة أمله في كيفية تعامل المشروع مع الموقف.
"ببساطة من خلال إضافة امتدادات .pyz و.pyzw إلى قائمة الحظر الخاصة بهم، يمكن لـ Meta منع الاستغلال المحتمل من خلال هذه وقال الباحث "ملفات zip التي تعمل ببرمجة Python"، وأضاف أنه من خلال معالجة هذه المشكلة، فإن WhatsApp "لن يعزز أمن مستخدميه فحسب، بل سيُظهر أيضًا التزامه بحل المخاوف الأمنية على الفور.
اتصلت BleepingComputer بـ WhatsApp لتنبيههم إلى أن امتداد PHP ليس محظورًا أيضًا، لكنها لم تتلق ردًا حتى الآن
المصدر: بوابة الوفد
إقرأ أيضاً:
7 شروط و4 استثناءات وآلية جديدة تطبق بعد 9 أيام: نصوص من قانون المعاش المبكر | عاجل
تبدأ الهيئة القومية للتأمينات الاجتماعية، في مطلع يناير المُقبل 2025 في تطبيق آلية جديدة لاستحقاق المعاش المُبكر للأشخاص الراغبين في انتهاء مدة خدمتهم قبل استكمال السن القانوني.
قانون المعاش المبكرووفقًا للمادة 102 من قانون التأمينات الاجتماعية رقم 148 لسنة 2019، والتي تنص على يستحق معاش تأمين الشيخوخة والعجز والوفاة في الحالات الآتية:
1- بلوغ المؤمن عليه من الشيخوخة مع توفر مدة اشتراك مقدارها عشر سنوات فعلية على الأقل وتزاد هذه المدة إلى خمسة عشر سنة فعلية اعتبارا من أول يناير 2025 على ألا يكون قد صرف تعويض الدفعة الواحدة عن مدد الاشتراك المشار إليها.
2- انتهاء خدمة المؤمن عليه للعجز الكامل بالنسبة للفئات المشار إليها بالمادة (3) من هذه اللائحة، وثبوت العجز الكامل المستديم خلال العمل أو النشاط بالنسبة لباقي الفئات.
3- انتهاء خدمة المؤمن عليه للوفاة بالنسبة للفئات المشار إليها بالمادة (3) من هذه اللائحة ووقوع الوفاة خلال العمل أو النشاط بالنسبة لباقي الفئات.
4- انتهاء خدمة المؤمن عليه من الفئات المشار إليها بالمادة (3) من هذه اللائحة للعجز الجزئي المستديم، بشرط صدور قرار اللجنة المختصة المنصوص عليها بالمادة (21) من القانون بعدم وجود عمل آخر للمؤمن عليه لدى صاحب العمل، ويستثنى من هذا الشرط الحالات التي يصدر بها قرار من رئيس الهيئة بناء على موافقة مجلس الإدارة.
لعجز الكامل أو الوفاة خلال سنة من تاريخ انتهاء خدمة5- العجز الكامل أو الوفاة خلال سنة من تاريخ انتهاء خدمة أو عمل أو نشاط المؤمن عليه، ويشترط لاستحقاق المعاش وفقا لهذه الحالة ما يأتي:
أ- انتهاء الخدمة أو العمل أو النشاط.
ب- ثبوت العجز الكامل أو وقوع الوفاة خلال سنة من تاريخ انتهاء خدمة أو عمل أو نشاط المؤمن عليه بشرط عدم تجاوز من الشيخوخة.
ج- عدم صرف تعويض الدفعة الواحدة عن مدة الاشتراك.
6- العجز الكامل أو الوفاة بعد انقضاء سنة من تاريخ انتهاء خدمة أو عمل أو نشاط المؤمن عليه، ويشترط لاستحقاق المعاش وفقا لهذه الحالة ما يأتي:
أ- إنتهاء الخدمة أو العمل أو النشاط.
ب- ثبوت العجز الكامل أو وقوع الوفاة بعد انقضاء سنة من تاريخ انتهاء خدمة أو عمل أو نشاط المؤمن عليه بشرط عدم تجاوز سن الشيخوخة.
ج- عدم صرف تعويض الدفعة الواحدة عن مدة الاشتراك.
د- توافر مدة اشتراك مقدارها عشر سنوات فعلية على الأقل، وتزاد هذه المدة إلى خمسة عشر سنة فعلية اعتبارا من أول يناير 2025.
7- انتهاء خدمة أو عمل أو نشاط المؤمن عليه لغير بلوغ سن الشيخوخة أو العجز أو الوفاة (المعاش المبكر ويشترط لاستحقاق المعاش وفقا لهذه الحالة ما يأتي:
أ- انتهاء الخدمة أو العمل أو النشاط.
ب- توافر مدد اشتراك في تأمين الشيخوخة والعجز والوفاة تعطي الحق في معاش لا يقل عن (50%) من أجر أو دخل التسوية الأخير، وبما لا يقل عن (65%) من الحد الأدنى لأجر الاشتراك في تاريخ استحقاق المعاش.
ج- أن تتضمن مدة الاشتراك المشار إليها عشرين سنة فعلية، وتزاد هذه المدة إلى خمسة وعشرين سنة فعلية اعتبارا من أول يناير 2025.
تقديم طلب الصرف وفقا للنموذج رقم (20) المرافق.
هـ- ألا يكون المؤمن عليه خاضعا لتأمين الشيخوخة والعجز والوفاة وفقا لأحكام القانون في تاریخ تقديم طلب الصرف.
ويشترط لاستحقاق المعاش في الحالات أرقام (2،3،4،5) من الفقرة الأولى من هذه المادة أن يكون للمؤمن عليه مدة اشتراك في التأمين لا تقل عن ثلاثة أشهر متصلة أو ستة أشهر متقطعة، ولا يسري هذا الشرط في الحالات الآتية:
1- العاملون المدنيون بالجهاز الإداري للدولة والهيئات العامة والمؤسسات العامة والوحدات الاقتصادية التابعة لأي من هذه الجهات وغيرها من الوحدات الاقتصادية بالقطاع العام.
2- العاملون الخاضعون لأحكام قانون العمل القطاع الخاص الذين يخضعون للوائح توظف صادرة بناء على قانون أو حددت أجورهم وعلاواتهم وترقياتهم بمقتضى اتفاقات جماعية أبرمت وفقا لقانون العمل متى وافق رئيس الهيئة على هذه اللوائح أو الاتفاقات.
3- انتقال العاملين المنصوص عليهم بالبند (1) للعمل بالقطاع الخاص.
4- ثبوت عجز المؤمن عليه أو وقوع وفاته نتيجة إصابة عمل.
كما يشترط لصرف المعاش في الحالة رقم (7) من هذه المادة أداء جميع المبالغ المستحقة على المؤمن عليه والخاصة بمدد الاشتراك أو القيمة الحالية للأقساط المستحقة وفقا للجدول رقم (11) المرافق.