يتيح تطبيق WhatsApp لنظام Windows تشغيل نصوص Python وPHP دون تحذير
تاريخ النشر: 28th, July 2024 GMT
تسمح مشكلة أمنية في أحدث إصدار من WhatsApp لنظام Windows بإرسال مرفقات Python وPHP يتم تنفيذها دون أي تحذير عند فتح المستلم لها.
لكي ينجح الهجوم، يجب تثبيت Python، وهو شرط أساسي قد يحد من الأهداف لمطوري البرامج والباحثين والمستخدمين المحترفين.
المشكلة مماثلة لتلك التي أثرت على Telegram لنظام Windows في أبريل، والتي تم رفضها في البداية ولكن تم إصلاحها لاحقًا، حيث يمكن للمهاجمين تجاوز تحذيرات الأمان وتنفيذ التعليمات البرمجية عن بُعد عند إرسال ملف Python .
يحتوي شريط مهام Windows 11 على ميزة "إنهاء المهمة" المخفية، كيف يتم تشغيلها
يحظر WhatsApp أنواع ملفات متعددة يُعتقد أنها تحمل مخاطر للمستخدمين، لكن الشركة أخبرت BleepingComputer أنها لا تخطط لإضافة نصوص Python إلى القائمة.
أظهرت الاختبارات الإضافية التي أجراها BleepingComputer أن ملفات PHP (.php) ليست مدرجة أيضًا في قائمة حظر WhatsApp.
لم يتم حظر البرامج النصية الخاصة بلغة Python وPHP
اكتشف الباحث الأمني Saumyajeet Das الثغرة أثناء تجربته على أنواع الملفات التي يمكن إرفاقها بمحادثات WhatsApp لمعرفة ما إذا كان التطبيق يسمح بأي من الملفات الخطرة.
عند إرسال ملف خطير محتمل، مثل .EXE، يعرضه WhatsApp ويمنح المتلقي خيارين: فتح أو حفظ باسم.
خيارات WhatsApp للملفات القابلة للتنفيذ
خيارات WhatsApp للملفات القابلة للتنفيذ
المصدر: BleepingComputer.com
ومع ذلك، عند محاولة فتح الملف، يُنشئ WhatsApp لنظام التشغيل Windows خطأ، مما يترك للمستخدمين خيار حفظ الملف على القرص وتشغيله من هناك فقط.
في اختبارات BleepingComputer، كان هذا السلوك متوافقًا مع أنواع الملفات .EXE و.COM و.SCR و.BAT وPerl باستخدام عميل WhatsApp لنظام التشغيل Windows. وجد Das أن WhatsApp يحظر أيضًا تنفيذ .DLL و.HTA وVBS.
في جميعها، حدث خطأ عند محاولة تشغيلها مباشرة من التطبيق بالنقر فوق "فتح". كان تنفيذها ممكنًا فقط بعد الحفظ على القرص أولاً.
فشل تشغيل .EXE من عميل WhatsApp
فشل تشغيل .EXE من عميل WhatsApp
المصدر: BleepingComputer
في حديثه إلى BleepingComputer، قال Das إنه وجد ثلاثة أنواع من الملفات لا يمنع عميل WhatsApp من التشغيل: .PYZ (تطبيق Python ZIP)، و.PYZW (برنامج PyInstaller)، و.EVTX (ملف سجل أحداث Windows).
أكدت اختبارات BleepingComputer أن WhatsApp لا يمنع تنفيذ ملفات Python واكتشفت أن نفس الشيء يحدث مع نصوص PHP.
إذا كانت جميع الموارد موجودة، فكل ما يحتاجه المستلم هو النقر فوق الزر "فتح" في الملف المستلم، ويتم تنفيذ النص.
أبلغ Das عن المشكلة إلى Meta في 3 يونيو وردت الشركة في 15 يوليو قائلة إن المشكلة قد تم الإبلاغ عنها بالفعل من قبل باحث آخر وكان يجب إصلاحها بالفعل.
عندما اتصل الباحث بـ BleepingComputer، كان الخلل لا يزال موجودًا في أحدث إصدار من WhatsApp لنظام التشغيل Windows، ويمكننا إعادة إنتاجه على Windows 11، v2.2428.10.0.
"لقد أبلغت عن هذه المشكلة إلى Meta من خلال برنامج مكافأة الأخطاء الخاص بهم، ولكن للأسف، قاموا بإغلاقها باعتبارها غير متاحة. إنه أمر مخيب للآمال، لأن هذا خلل واضح يمكن تخفيفه بسهولة"، أوضح الباحث.
تواصلت BleepingComputer مع WhatsApp للحصول على توضيح حول سبب رفض تقرير الباحث، وأوضح المتحدث باسمهم أنهم لم يروا ذلك كمشكلة من جانبهم، لذلك لم تكن هناك خطط لإصلاحها:
"لقد قرأنا ما اقترحه الباحث ونقدر إرساله. يمكن أن تتخذ البرامج الضارة أشكالًا مختلفة عديدة، بما في ذلك من خلال الملفات القابلة للتنزيل والمقصود بها خداع المستخدم".
"لهذا السبب نحذر المستخدمين من عدم النقر فوق أو فتح ملف من شخص لا يعرفونه، بغض النظر عن كيفية استلامه - سواء عبر WhatsApp أو أي تطبيق آخر."
وأوضح ممثل الشركة أيضًا أن WhatsApp لديه نظام لتحذير المستخدمين عندما يتلقون رسائل من مستخدمين ليسوا في قوائم جهات الاتصال الخاصة بهم، أو لديهم أرقام هواتف مسجلة في بلد مختلف.
ومع ذلك، إذا تم اختطاف حساب المستخدم، يمكن للمهاجم إرسال نصوص ضارة إلى كل شخص في قائمة جهات الاتصال والتي يسهل تنفيذها مباشرة من تطبيق المراسلة.
وعلاوة على ذلك، يمكن نشر هذه الأنواع من المرفقات في مجموعات الدردشة العامة والخاصة، والتي يمكن إساءة استخدامها من قبل الجهات الفاعلة المهددة لنشر الملفات الضارة.
وردًا على رفض WhatsApp للتقرير، أعرب Das عن خيبة أمله في كيفية تعامل المشروع مع الموقف.
"ببساطة من خلال إضافة امتدادات .pyz و.pyzw إلى قائمة الحظر الخاصة بهم، يمكن لـ Meta منع الاستغلال المحتمل من خلال هذه وقال الباحث "ملفات zip التي تعمل ببرمجة Python"، وأضاف أنه من خلال معالجة هذه المشكلة، فإن WhatsApp "لن يعزز أمن مستخدميه فحسب، بل سيُظهر أيضًا التزامه بحل المخاوف الأمنية على الفور.
اتصلت BleepingComputer بـ WhatsApp لتنبيههم إلى أن امتداد PHP ليس محظورًا أيضًا، لكنها لم تتلق ردًا حتى الآن
المصدر: بوابة الوفد
إقرأ أيضاً:
خلال العقد الحالي.. تحذير من انخفاض حاد في إيرادات النفط السعودية
من المتوقع أن ترتفع إيرادات النفط في السعودية حتى عام 2026 قبل أن تنخفض بوتيرة أسرع مما كان متوقعا سابقا حتى نهاية العقد، حسبما نقلته وكالة بلومبرغ عن تقرير لصندوق النقد الدولي.
ومن المحتمل أن يثير هذا الانخفاض الحاد "بعض القلق" للمملكة حيث يقود ولي العهد الأمير محمد بن سلمان تحولا اقتصاديا طموحا من خلال برنامج رؤية 2030، وفقا للمصدر ذاته.
وأشارت الوكالة الوكالة إلى أن الرياض اضطرت بالفعل إلى تقليص بعض خططها، جزئيا لأن أسعار النفط لا تزال أقل بكثير من المستوى الذي تحتاجه الحكومة لموازنة ميزانيتها.
وقال صندوق النقد الدولي في تقرير بعد مشاوراته السنوية مع الحكومة السعودية، إن إيرادات النفط سترتفع إلى 783 مليار ريال (209 مليارات دولار) لتشكل حوالي 26 بالمئة من الناتج المحلي الإجمالي في عام 2026.
ومن المتوقع أن تنخفض الإيرادات إلى 778 مليار ريال في عام 2029، أي أقل بنسبة 4.1 بالمئة من التقديرات السابقة.
وتحتاج السعودية إلى أسعار نفط عند 96 دولارا للبرميل لموازنة ميزانيتها، بحسب صندوق النقد الدولي.
وهذا الرقم أعلى بأكثر من 20 دولارا من المستويات الحالية لخام برنت القياسي العالمي.
ومع الأخذ في الاعتبار الإنفاق المحلي لصندوق الثروة السيادية للمملكة، تقول الوكالة إن السؤال الرئيسي للرياض هو كيف سيؤثر الضعف الحالي في سوق النفط على ماليتها وسياسة الإنتاج.
ويتوقع صندوق النقد الدولي أن يصل إنتاج النفط السعودي إلى 9 ملايين برميل يوميا هذا العام، ليرتفع إلى 10.2 مليون في عام 2026 و11 مليون في عام 2029، وفقا لتقريره.
وقد افترضت الوكالة أن متوسط سعر التصدير للمملكة سيبلغ 82.5 دولارا للبرميل في عام 2024، لينخفض إلى 70 دولارا بحلول نهاية العقد.
ولم يفصل صندوق النقد الدولي حجم توزيعات الأرباح والإتاوات والضرائب في حساب إيرادات النفط الحكومية ولا يتوقع مستويات توزيعات الأرباح. كما تفترض حساباته أن الحكومة لن تبيع أو تنقل ملكية حصص إضافية في أرامكو، مما من شأنه أن يدفع إيراداتها من الشركة إلى الانخفاض، وفقا لبلومبرغ.
جيوبوليتيك وتداعيات دبلوماسية البرهان في الصين