Un problème de sécurité dans la dernière version de WhatsApp pour Windows permet d’envoyer des pièces jointes Python et PHP qui sont exécutées sans aucun avertissement lorsque le destinataire les ouvre.
Pour que l’attaque réussisse, Python doit être installé, une condition préalable qui peut limiter les cibles aux développeurs de logiciels, aux chercheurs et aux utilisateurs expérimentés.
Le problème est similaire à celui affectant Telegram pour Windows en avril, qui a été initialement rejeté mais corrigé plus tard, où les attaquants pouvaient contourner les avertissements de sécurité et exécuter du code à distance lors de l’envoi d’un Python .fichier pyzw via le client de messagerie.
WhatsApp bloque plusieurs types de fichiers considérés comme présentant un risque pour les utilisateurs, mais la société indique à Breachtrace qu’elle ne prévoit pas d’ajouter de scripts Python à la liste.
Des tests supplémentaires effectués par Breachtrace montrent que les fichiers PHP (.php) ne sont pas non plus inclus dans la liste de blocage de WhatsApp.
Scripts Python, PHP non bloqués
Saumyajeet Das, chercheur en sécurité, a découvert la vulnérabilité en expérimentant des types de fichiers pouvant être joints aux conversations WhatsApp pour voir si l’application autorise l’un des plus risqués.
Lors de l’envoi d’un fichier potentiellement dangereux, tel que .EXE, WhatsApp l’affiche et offre au destinataire deux options: Ouvrir ou Enregistrer sous.
Cependant, lorsque vous essayez d’ouvrir le fichier, WhatsApp pour Windows génère une erreur, ne laissant aux utilisateurs que la possibilité d’enregistrer le fichier sur le disque et de le lancer à partir de là.
Dans les tests de Breachtrace , ce comportement était cohérent avec .EXE, .AVEC, .SCR, .Types de fichiers BAT et Perl à l’aide du client WhatsApp pour Windows. Das a constaté que WhatsApp bloque également l’exécution de .DLL, .HTA et VBS.
Pour tous, une erreur s’est produite lors de la tentative de lancement directement depuis l’application en cliquant sur « Ouvrir. »Leur exécution n’était possible qu’après avoir d’abord enregistré sur le disque.
En parlant à Breachtrace , Das a déclaré avoir trouvé trois types de fichiers que le client WhatsApp n’empêche pas de lancer: .PYZ (application ZIP Python), .PYZW (programme d’installation de PY), et .EVTX (fichier journal des événements Windows).
Les tests de Breachtrace ont confirmé que WhatsApp ne bloque pas l’exécution des fichiers Python et ont découvert que la même chose se produit avec les scripts PHP.
Si toutes les ressources sont présentes, il suffit au destinataire de cliquer sur le bouton « Ouvrir » du fichier reçu et le script s’exécute.
Das a signalé le problème à Meta le 3 juin et la société a répondu le 15 juillet en disant que le problème avait déjà été signalé par un autre chercheur.
Lorsque le chercheur a contacté Breachtrace , le bogue était toujours présent dans la dernière version de WhatsApp pour Windows, et nous pouvions le reproduire sur Windows 11, v2.2428.10.0.
« J’ai signalé ce problème à Meta via leur programme de primes aux bogues, mais malheureusement, ils l’ont fermé comme S/O. C’est décevant, car il s’agit d’une faille simple qui pourrait être facilement atténuée », a expliqué le chercheur.
Breachtrace a contacté WhatsApp pour obtenir des éclaircissements sur la raison du rejet du rapport du chercheur, et un porte-parole a expliqué qu’ils ne voyaient pas cela comme un problème de leur côté, il n’y avait donc aucun plan pour un correctif:
« Nous avons lu ce que le chercheur a proposé et apprécions sa soumission. Les logiciels malveillants peuvent prendre de nombreuses formes différentes, y compris via des fichiers téléchargeables destinés à tromper un utilisateur. »
« C’est pourquoi nous avertissons les utilisateurs de ne jamais cliquer ou ouvrir un fichier provenant de quelqu’un qu’ils ne connaissent pas, quelle que soit la façon dont ils l’ont reçu — que ce soit via WhatsApp ou toute autre application. »
Le représentant de l’entreprise a également expliqué que WhatsApp a mis en place un système pour avertir les utilisateurs lorsqu’ils reçoivent des messages d’utilisateurs qui ne figurent pas dans leurs listes de contacts ou qui ont des numéros de téléphone enregistrés dans un autre pays.
Néanmoins, si le compte d’un utilisateur est détourné, l’attaquant peut envoyer à tous les membres de la liste de contacts des scripts malveillants plus faciles à exécuter directement depuis l’application de messagerie.
De plus, ces types de pièces jointes pourraient être publiés dans des groupes de discussion publics et privés, qui pourraient être utilisés de manière abusive par des acteurs malveillants pour diffuser des fichiers malveillants.
En réponse au rejet du rapport par WhatsApp, Das a exprimé sa déception quant à la façon dont le projet a géré la situation.
« En ajoutant simplement le .pyz et .extensions pyzw à leur liste de blocage, Meta peut empêcher une exploitation potentielle via ces fichiers zip pythoniques », a déclaré le chercheur.
Il a ajouté qu’en s’attaquant au problème, WhatsApp « améliorerait non seulement la sécurité de leurs utilisateurs, mais démontrerait également leur engagement à résoudre rapidement les problèmes de sécurité.
Breachtrace a contacté WhatsApp pour les alerter que l’extension PHP n’est pas non plus bloquée mais n’a pas reçu de réponse pour le moment.