يتيح تطبيق WhatsApp لنظام Windows تشغيل نصوص Python وPHP دون تحذير
تاريخ النشر: 28th, July 2024 GMT
تسمح مشكلة أمنية في أحدث إصدار من WhatsApp لنظام Windows بإرسال مرفقات Python وPHP يتم تنفيذها دون أي تحذير عند فتح المستلم لها.
لكي ينجح الهجوم، يجب تثبيت Python، وهو شرط أساسي قد يحد من الأهداف لمطوري البرامج والباحثين والمستخدمين المحترفين.
المشكلة مماثلة لتلك التي أثرت على Telegram لنظام Windows في أبريل، والتي تم رفضها في البداية ولكن تم إصلاحها لاحقًا، حيث يمكن للمهاجمين تجاوز تحذيرات الأمان وتنفيذ التعليمات البرمجية عن بُعد عند إرسال ملف Python .
يحتوي شريط مهام Windows 11 على ميزة "إنهاء المهمة" المخفية، كيف يتم تشغيلها
يحظر WhatsApp أنواع ملفات متعددة يُعتقد أنها تحمل مخاطر للمستخدمين، لكن الشركة أخبرت BleepingComputer أنها لا تخطط لإضافة نصوص Python إلى القائمة.
أظهرت الاختبارات الإضافية التي أجراها BleepingComputer أن ملفات PHP (.php) ليست مدرجة أيضًا في قائمة حظر WhatsApp.
لم يتم حظر البرامج النصية الخاصة بلغة Python وPHP
اكتشف الباحث الأمني Saumyajeet Das الثغرة أثناء تجربته على أنواع الملفات التي يمكن إرفاقها بمحادثات WhatsApp لمعرفة ما إذا كان التطبيق يسمح بأي من الملفات الخطرة.
عند إرسال ملف خطير محتمل، مثل .EXE، يعرضه WhatsApp ويمنح المتلقي خيارين: فتح أو حفظ باسم.
خيارات WhatsApp للملفات القابلة للتنفيذ
خيارات WhatsApp للملفات القابلة للتنفيذ
المصدر: BleepingComputer.com
ومع ذلك، عند محاولة فتح الملف، يُنشئ WhatsApp لنظام التشغيل Windows خطأ، مما يترك للمستخدمين خيار حفظ الملف على القرص وتشغيله من هناك فقط.
في اختبارات BleepingComputer، كان هذا السلوك متوافقًا مع أنواع الملفات .EXE و.COM و.SCR و.BAT وPerl باستخدام عميل WhatsApp لنظام التشغيل Windows. وجد Das أن WhatsApp يحظر أيضًا تنفيذ .DLL و.HTA وVBS.
في جميعها، حدث خطأ عند محاولة تشغيلها مباشرة من التطبيق بالنقر فوق "فتح". كان تنفيذها ممكنًا فقط بعد الحفظ على القرص أولاً.
فشل تشغيل .EXE من عميل WhatsApp
فشل تشغيل .EXE من عميل WhatsApp
المصدر: BleepingComputer
في حديثه إلى BleepingComputer، قال Das إنه وجد ثلاثة أنواع من الملفات لا يمنع عميل WhatsApp من التشغيل: .PYZ (تطبيق Python ZIP)، و.PYZW (برنامج PyInstaller)، و.EVTX (ملف سجل أحداث Windows).
أكدت اختبارات BleepingComputer أن WhatsApp لا يمنع تنفيذ ملفات Python واكتشفت أن نفس الشيء يحدث مع نصوص PHP.
إذا كانت جميع الموارد موجودة، فكل ما يحتاجه المستلم هو النقر فوق الزر "فتح" في الملف المستلم، ويتم تنفيذ النص.
أبلغ Das عن المشكلة إلى Meta في 3 يونيو وردت الشركة في 15 يوليو قائلة إن المشكلة قد تم الإبلاغ عنها بالفعل من قبل باحث آخر وكان يجب إصلاحها بالفعل.
عندما اتصل الباحث بـ BleepingComputer، كان الخلل لا يزال موجودًا في أحدث إصدار من WhatsApp لنظام التشغيل Windows، ويمكننا إعادة إنتاجه على Windows 11، v2.2428.10.0.
"لقد أبلغت عن هذه المشكلة إلى Meta من خلال برنامج مكافأة الأخطاء الخاص بهم، ولكن للأسف، قاموا بإغلاقها باعتبارها غير متاحة. إنه أمر مخيب للآمال، لأن هذا خلل واضح يمكن تخفيفه بسهولة"، أوضح الباحث.
تواصلت BleepingComputer مع WhatsApp للحصول على توضيح حول سبب رفض تقرير الباحث، وأوضح المتحدث باسمهم أنهم لم يروا ذلك كمشكلة من جانبهم، لذلك لم تكن هناك خطط لإصلاحها:
"لقد قرأنا ما اقترحه الباحث ونقدر إرساله. يمكن أن تتخذ البرامج الضارة أشكالًا مختلفة عديدة، بما في ذلك من خلال الملفات القابلة للتنزيل والمقصود بها خداع المستخدم".
"لهذا السبب نحذر المستخدمين من عدم النقر فوق أو فتح ملف من شخص لا يعرفونه، بغض النظر عن كيفية استلامه - سواء عبر WhatsApp أو أي تطبيق آخر."
وأوضح ممثل الشركة أيضًا أن WhatsApp لديه نظام لتحذير المستخدمين عندما يتلقون رسائل من مستخدمين ليسوا في قوائم جهات الاتصال الخاصة بهم، أو لديهم أرقام هواتف مسجلة في بلد مختلف.
ومع ذلك، إذا تم اختطاف حساب المستخدم، يمكن للمهاجم إرسال نصوص ضارة إلى كل شخص في قائمة جهات الاتصال والتي يسهل تنفيذها مباشرة من تطبيق المراسلة.
وعلاوة على ذلك، يمكن نشر هذه الأنواع من المرفقات في مجموعات الدردشة العامة والخاصة، والتي يمكن إساءة استخدامها من قبل الجهات الفاعلة المهددة لنشر الملفات الضارة.
وردًا على رفض WhatsApp للتقرير، أعرب Das عن خيبة أمله في كيفية تعامل المشروع مع الموقف.
"ببساطة من خلال إضافة امتدادات .pyz و.pyzw إلى قائمة الحظر الخاصة بهم، يمكن لـ Meta منع الاستغلال المحتمل من خلال هذه وقال الباحث "ملفات zip التي تعمل ببرمجة Python"، وأضاف أنه من خلال معالجة هذه المشكلة، فإن WhatsApp "لن يعزز أمن مستخدميه فحسب، بل سيُظهر أيضًا التزامه بحل المخاوف الأمنية على الفور.
اتصلت BleepingComputer بـ WhatsApp لتنبيههم إلى أن امتداد PHP ليس محظورًا أيضًا، لكنها لم تتلق ردًا حتى الآن
المصدر: بوابة الوفد
إقرأ أيضاً:
الحكومة تزف أخبارا سارة للمواطنين.. مفاجأة في أسعار الذهب.. تحذير عاجل من الأرصاد| أهم أخبار التوك شو
تناولت برامج التوك شو خلال الساعات الماضية عددا من الاخبار الهامة نرصد أبرزها فى التقرير التالى.
خلال أسابيع.. الحكومة تزف أخبارا سارة للمواطنين
أكد المستشار محمد الحمصاني، المتحدث الرسمي باسم رئاسة مجلس الوزراء، أن مشروع تطوير هضبة الأهرامات يقترب من الانتهاء خلال الأسابيع المقبلة، مشيرًا إلى أن الهدف الأساسي من التطوير هو تحسين تجربة الزائرين، سواء المصريين أو السياح الأجانب، من خلال تحديث المرافق والبنية التحتية، بما في ذلك شبكات الكهرباء والاتصالات، بالإضافة إلى تنظيم عملية استقبال السياح منذ دخولهم وحتى انتهاء زيارتهم.
روشتة ونصائح ذهبية للمعاملة بين الأم والزوجة
وجة الدكتور نظير عياد، مفتي الديار، نصائح ذهبية لخلق توافق في المعاملة بين الأم والزوجة، قائلا: إن التوفيق بين الأم والزوجة من القضايا التي تشغل الكثير من الرجال.
رئيس الحكومة اللبناني: ليس هناك أي مبرر لاستمرار الاحتلال الإسرائيلي
شدد رئيس الحكومة اللبناني نواف سلام، على ضرورة الضغط الأمريكي على إسرائيل كي تنسحب بشكل كامل من النقاط التي لا تزال تحتلها في أسرع وقت، وقال ليس هناك أي مبرر عسكري أو أمني لاستمرار الاحتلال الإسرائيلي لعدد من النقاط في جنوب لبنان.
حماس: نطالب الاحتلال بإعادة جثمان ادعى نتنياهو أنه لفلسطينية
عرضت قناة القاهرة الإخبارية خبرا عاجلا يفيد بأن حماس طالبت الاحتلال بإعادة الجثمان الذي قال نتنياهو إنه يعود لفلسطينية استشهدت في القصف على غزة.
شريف عامر يبكي متأثرا من ارتجال فرقة "ارتجاليا" عن حياته
خصص برنامج "يحدث في مصر" فقرة خاصة مع أبطال فرقة "مسرح ارتجاليا"، وقدمت الفرقة مشهدا مسرحيا رائعا، عن حياة الإعلامي شريف عامر.
عيار 21 مفاجأة.. تعرف على أسعار الذهب اليوم
استعرض برنامج “صباح البلد”، المذاع عبر فضائية “صدى البلد"، تقرير فيديو، عن أسعار الذهب، اليوم الجمعة.
أجواء معتدلة.. الأرصاد تكشف عن حالة الطقس في شهر رمضان
كشف محمود القياتي، عضو المركز الإعلامي بالهيئة العامة للأرصاد الجوية، عن تفاصيل الطقس ودرجات الحرارة المتوقعة خلال الأيام القادمة وتفاصيل موجة الطقس الباردة.
خبير علاقات دولية: العالم بأكمله يرفض مقترح ترامب بشأن تهجير الفلسطينيين
قال الدكتور أحمد سيد أحمد، خبير العلاقات الدولية، إن تصريحات المبعوث الأمريكي للشرق الأوسط ستيف ويتكوف تأتي لمحاولة استيعاب ردود الأفعال العربية الشديدة الرافضة لمخطط الأمريكي الإسرائيلي بتهجير الفلسطينيين، لأن منطق التهجير من الأساس لا يمكن ترويجه.
جهاد الحرازين: تفجيرات الحافلات في تل أبيب فيلم هوليودي
قال الدكتور جهاد الحرازين أستاذ العلوم السياسية، إنّ تفجيرات تل أبيب أمس عبارة عن فيلم هوليودي، مواصلا: «التفجيرات وقعت بعدما جرى إفراغ المنطقة من كل المسافرين».
إحسان الخطيب: منفذ تفجيرات حافلات في تل أبيب لم يكن يريد إيذاء الأشخاص
قال الدكتور إحسان الخطيب أستاذ العلوم السياسية، إنّ الذي نفذ تفجيرات تل أبيب أمس لم يكن يريد أن يؤذي أشخاص، وهذا ما يشكل علامات استفهام كثيرة.
حماس: نرفض تهديدات نتنياهو ومستمرون في تنفيذ اتفاق وقف إطلاق النار
عرضت قناة القاهرة الإخبارية خبرا عاجلا يفيد بأن حماس قالت نرفض تهديدات نتنياهو ومستمرون في تنفيذ اتفاق وقف إطلاق النار بغزة، وهناك احتمالية لخطأ أو اختلاط رفات بشري بسبب القصف الإسرائيلي.
واشنطن: "اتفاق المعادن" مع أوكرانيا لا يشمل ضمانات أمنية