يتيح تطبيق WhatsApp لنظام Windows تشغيل نصوص Python وPHP دون تحذير
تاريخ النشر: 28th, July 2024 GMT
تسمح مشكلة أمنية في أحدث إصدار من WhatsApp لنظام Windows بإرسال مرفقات Python وPHP يتم تنفيذها دون أي تحذير عند فتح المستلم لها.
لكي ينجح الهجوم، يجب تثبيت Python، وهو شرط أساسي قد يحد من الأهداف لمطوري البرامج والباحثين والمستخدمين المحترفين.
المشكلة مماثلة لتلك التي أثرت على Telegram لنظام Windows في أبريل، والتي تم رفضها في البداية ولكن تم إصلاحها لاحقًا، حيث يمكن للمهاجمين تجاوز تحذيرات الأمان وتنفيذ التعليمات البرمجية عن بُعد عند إرسال ملف Python .
يحتوي شريط مهام Windows 11 على ميزة "إنهاء المهمة" المخفية، كيف يتم تشغيلها
يحظر WhatsApp أنواع ملفات متعددة يُعتقد أنها تحمل مخاطر للمستخدمين، لكن الشركة أخبرت BleepingComputer أنها لا تخطط لإضافة نصوص Python إلى القائمة.
أظهرت الاختبارات الإضافية التي أجراها BleepingComputer أن ملفات PHP (.php) ليست مدرجة أيضًا في قائمة حظر WhatsApp.
لم يتم حظر البرامج النصية الخاصة بلغة Python وPHP
اكتشف الباحث الأمني Saumyajeet Das الثغرة أثناء تجربته على أنواع الملفات التي يمكن إرفاقها بمحادثات WhatsApp لمعرفة ما إذا كان التطبيق يسمح بأي من الملفات الخطرة.
عند إرسال ملف خطير محتمل، مثل .EXE، يعرضه WhatsApp ويمنح المتلقي خيارين: فتح أو حفظ باسم.
خيارات WhatsApp للملفات القابلة للتنفيذ
خيارات WhatsApp للملفات القابلة للتنفيذ
المصدر: BleepingComputer.com
ومع ذلك، عند محاولة فتح الملف، يُنشئ WhatsApp لنظام التشغيل Windows خطأ، مما يترك للمستخدمين خيار حفظ الملف على القرص وتشغيله من هناك فقط.
في اختبارات BleepingComputer، كان هذا السلوك متوافقًا مع أنواع الملفات .EXE و.COM و.SCR و.BAT وPerl باستخدام عميل WhatsApp لنظام التشغيل Windows. وجد Das أن WhatsApp يحظر أيضًا تنفيذ .DLL و.HTA وVBS.
في جميعها، حدث خطأ عند محاولة تشغيلها مباشرة من التطبيق بالنقر فوق "فتح". كان تنفيذها ممكنًا فقط بعد الحفظ على القرص أولاً.
فشل تشغيل .EXE من عميل WhatsApp
فشل تشغيل .EXE من عميل WhatsApp
المصدر: BleepingComputer
في حديثه إلى BleepingComputer، قال Das إنه وجد ثلاثة أنواع من الملفات لا يمنع عميل WhatsApp من التشغيل: .PYZ (تطبيق Python ZIP)، و.PYZW (برنامج PyInstaller)، و.EVTX (ملف سجل أحداث Windows).
أكدت اختبارات BleepingComputer أن WhatsApp لا يمنع تنفيذ ملفات Python واكتشفت أن نفس الشيء يحدث مع نصوص PHP.
إذا كانت جميع الموارد موجودة، فكل ما يحتاجه المستلم هو النقر فوق الزر "فتح" في الملف المستلم، ويتم تنفيذ النص.
أبلغ Das عن المشكلة إلى Meta في 3 يونيو وردت الشركة في 15 يوليو قائلة إن المشكلة قد تم الإبلاغ عنها بالفعل من قبل باحث آخر وكان يجب إصلاحها بالفعل.
عندما اتصل الباحث بـ BleepingComputer، كان الخلل لا يزال موجودًا في أحدث إصدار من WhatsApp لنظام التشغيل Windows، ويمكننا إعادة إنتاجه على Windows 11، v2.2428.10.0.
"لقد أبلغت عن هذه المشكلة إلى Meta من خلال برنامج مكافأة الأخطاء الخاص بهم، ولكن للأسف، قاموا بإغلاقها باعتبارها غير متاحة. إنه أمر مخيب للآمال، لأن هذا خلل واضح يمكن تخفيفه بسهولة"، أوضح الباحث.
تواصلت BleepingComputer مع WhatsApp للحصول على توضيح حول سبب رفض تقرير الباحث، وأوضح المتحدث باسمهم أنهم لم يروا ذلك كمشكلة من جانبهم، لذلك لم تكن هناك خطط لإصلاحها:
"لقد قرأنا ما اقترحه الباحث ونقدر إرساله. يمكن أن تتخذ البرامج الضارة أشكالًا مختلفة عديدة، بما في ذلك من خلال الملفات القابلة للتنزيل والمقصود بها خداع المستخدم".
"لهذا السبب نحذر المستخدمين من عدم النقر فوق أو فتح ملف من شخص لا يعرفونه، بغض النظر عن كيفية استلامه - سواء عبر WhatsApp أو أي تطبيق آخر."
وأوضح ممثل الشركة أيضًا أن WhatsApp لديه نظام لتحذير المستخدمين عندما يتلقون رسائل من مستخدمين ليسوا في قوائم جهات الاتصال الخاصة بهم، أو لديهم أرقام هواتف مسجلة في بلد مختلف.
ومع ذلك، إذا تم اختطاف حساب المستخدم، يمكن للمهاجم إرسال نصوص ضارة إلى كل شخص في قائمة جهات الاتصال والتي يسهل تنفيذها مباشرة من تطبيق المراسلة.
وعلاوة على ذلك، يمكن نشر هذه الأنواع من المرفقات في مجموعات الدردشة العامة والخاصة، والتي يمكن إساءة استخدامها من قبل الجهات الفاعلة المهددة لنشر الملفات الضارة.
وردًا على رفض WhatsApp للتقرير، أعرب Das عن خيبة أمله في كيفية تعامل المشروع مع الموقف.
"ببساطة من خلال إضافة امتدادات .pyz و.pyzw إلى قائمة الحظر الخاصة بهم، يمكن لـ Meta منع الاستغلال المحتمل من خلال هذه وقال الباحث "ملفات zip التي تعمل ببرمجة Python"، وأضاف أنه من خلال معالجة هذه المشكلة، فإن WhatsApp "لن يعزز أمن مستخدميه فحسب، بل سيُظهر أيضًا التزامه بحل المخاوف الأمنية على الفور.
اتصلت BleepingComputer بـ WhatsApp لتنبيههم إلى أن امتداد PHP ليس محظورًا أيضًا، لكنها لم تتلق ردًا حتى الآن
المصدر: بوابة الوفد
إقرأ أيضاً:
باحث: نتنياهو لا يريد تطبيق القرار الأممي 1701 في لبنان
أكد عبد الله نعمة، الباحث في العلاقات الدولية، أن جيش الاحتلال الإسرائيلي مستمر في عملياته العسكرية في لبنان خلال 60 يوما المقبلة، حتى يتولى الرئيس الأمريكي المنتخب دونالد ترامب مهام عمله رسميا، لذا يحاول الاحتلال تدمير البنية التحتية للبنان بالكامل خلال هذه الفترة، كما يحاول القضاء على قدرات حزب الله بالكامل.
تدمير البنية التحتية في لبنانوأضاف «نعمة»، خلال مداخلة عبر قناة القاهرة الإخبارية، أن رئيس وزراء دولة الاحتلال بنيامين نتنياهو لا يريد تطبيق القرار الأممي 1701 في لبنان حتى يستمر في انتهاكاته وعدوانه على لبنان، لافتا إلى أن الاحتلال استهدف أمس مدينة صور، وهي مدينة سياحية وتجارية، ولا يوجد فيها أي مراكز عسكرية، وهذا يدل على أن الاحتلال يحاول تدمير لبنان بالكامل من خلال استهداف المناطق الآمنة والسكنية.
وقف إطلاق الناروتابع: «جيش الاحتلال الإسرائيلي يعيد تنفيذ سيناريو تدمير قطاع غزة في لبنان، ويحاول الضغط على الإدارة اللبنانية لكي يحقق أهدافه»، لافتًا إلى أن نتنياهو قال إن عند رفض لبنان صيغة التفاوض القادمة من الولايات المتحدة الأمريكية لن يكون هناك وقف لإطلاق النار.
غواصات في دول عربية المرعبة تثير مخاوف الغرب