WhatsApp for Windows lets Python, PHP scripts execute with no warning

WhatsApp for Windows の最新バージョンにセキュリティ上の問題があり、Python や PHP の添付ファイルが送信され、受信者がそれを開いた際に警告なしに実行される。

この攻撃を成功させるには、Pythonがインストールされている必要があり、この前提条件がソフトウェア開発者、研究者、パワーユーザーにターゲットを限定している可能性がある。

この問題は、4月にTelegram for Windowsに影響を与え、当初は拒否されたが後に修正されたものと類似しており、攻撃者はメッセージングクライアントを通じてPythonの.pyzwファイルを送信する際に、セキュリティ警告を回避し、リモートでコードを実行することができる。

WhatsAppは、ユーザーにとってリスクがあると考えられる複数のファイルタイプをブロックしているが、同社はPythonスクリプトをリストに追加する予定はないと伝えている。

更なるテストによると、PHPファイル(.php)もWhatsAppのブロックリストに含まれていない。

Python、PHPスクリプトはブロックされない

セキュリティ研究者のSaumyajeet Das氏は、WhatsAppの会話に添付可能なファイルの種類を試し、危険なファイルが許可されているかどうかを確認した際に、この脆弱性を発見した。

.EXEのような潜在的に危険なファイルを送信すると、WhatsAppはそれを表示し、受信者に2つのオプションを与える:開く」か「名前を付けて保存」。

WhatsApp options for executable files
実行ファイルのWhatsAppオプション
出典:.com

しかしファイルを開こうとすると、WhatsApp for Windowsはエラーを発生させ、ファイルをディスクに保存し、そこから起動するしかない。

この現象はWindows版WhatsAppクライアントを使用した.EXE、.COM、.SCR、.BAT、Perlファイルで確認された。WhatsApp は .DLL、.HTA、VBS の実行もブロックすることが判明した。

いずれもアプリから直接 “開く “をクリックするとエラーが発生した。これらの実行は、まずディスクに保存してからでないと不可能だった。

Failed .EXE launch from WhatsApp client
WhatsApp クライアントから .EXE を起動しようとすると失敗する
ソースは こちら:

Das氏によると、WhatsAppクライアントが起動をブロックしないファイルタイプは.PYZ(Python ZIPアプリ)、.PYZW(PyInstallerプログラム)、.EVTX(Windowsイベントログファイル)の3つ。

WhatsAppがPythonファイルの実行をブロックしないことを確認し、PHPスクリプトでも同じことが起こることを発見した。

全てのリソースが揃っていれば、受信者は受信ファイルの「開く」ボタンをクリックするだけで、スクリプトが実行される。

Das氏はこの問題を6月3日にMeta社に報告し、同社は7月15日に、この問題はすでに別の研究者によって報告されており、すでに修正されているはずだと回答した。

その研究者が連絡したところ、このバグはWindows版WhatsAppの最新リリースにも存在し、Windows 11のv2.2428.10.0でも再現できたという。

“私はこの問題をMetaのバグ報奨金プログラムを通じて報告しましたが、残念ながらN/Aとしてクローズされました。これは簡単に軽減できる簡単な欠陥なので、残念です」と研究者は説明した。

と研究者は説明した。WhatsAppがこの研究者の報告を却下した理由を明らかにするためにWhatsAppに問い合わせたところ、広報担当者は、WhatsApp側ではこの問題を問題視しておらず、修正の予定はないと説明した:

「研究者が提案した内容を読み、その提出に感謝しています。マルウェアは、ユーザーを騙すことを意図したダウンロード可能なファイルを介してなど、さまざまな形態を取ることができます”。

「WhatsAppであろうと他のアプリであろうと、どのような方法で受け取ったかに関わらず、決して知らない人からのファイルをクリックしたり開いたりしないよう、ユーザーに警告しているのはそのためだ。

また同社担当者は、WhatsAppには連絡先リストに登録されていないユーザーや、異なる国で登録された電話番号のユーザーからメッセージが届いた場合に警告を発するシステムがあると説明した。

とはいえ、ユーザーのアカウントが乗っ取られた場合、攻撃者はメッセージングアプリから直接実行しやすい悪意のあるスクリプトを、連絡先リストの全員に送ることができる。

さらに、この種の添付ファイルは、公開チャットグループやプライベートチャットグループに投稿される可能性があり、悪意のあるファイルを拡散するために、脅威行為者によって悪用される可能性があります。

WhatsAppがこの報告を拒否したことに対し、Dasはプロジェクトの対応に失望を表明した。

「.pyzと.pyzwの拡張子をブロックリストに追加するだけで、MetaはこれらのPythonic zipファイルによる悪用の可能性を防ぐことができます。

同氏は、WhatsAppがこの問題に対処することで、「ユーザーのセキュリティを強化するだけでなく、セキュリティ上の懸念を迅速に解決する姿勢を示すことができる」と付け加えた。

WhatsAppに連絡し、PHP拡張機能もブロックされていないことを警告したが、現時点では回答は得られていない。