根据安全新闻网站Bleeping Computer的报道,安全研究人员Saumyajeet Das发现Windows版即时通信软件WhatsApp存在弱点,在用户发送Python安装文件(.PYZW)或是PHP文件的时候不会进行拦截,也不向用户发出警示消息,导致攻击者有机会对使用这款通信软件的开发人员下手。
研究人员指出,通过发送Python或PHP文件进行漏洞利用攻击存在先决条件,那就是目标计算机要安装Python或PHP,但在软件开发人员、安全研究人员、管理者的计算机里,往往具有这样的组态而可能因此中招,因此这样的风险相当值得留意,因为可能被用于针对性攻击。
照理来说,若是在消息里的附件类型(如EXE)有可能被黑客用于攻击的时候,WhatsApp会要求用户必须存储到磁盘再执行,禁止直接打开,但对于上述的程序语言脚本并未管制,使得攻击者有机可乘。
除了前述的PYZW、PHP文件,研究人员发现还有Python压缩文件(.PYZ)、Windows事件记录文件(.EVTX)也有相同情形。
6月3日Saumyajeet Das向Meta通报此事,该公司7月15日回复,他们在此之前已接获另一名研究人员的报告。该名研究人员表示,他通过Meta的漏洞悬赏项目进行通报,但发现此案竟直接以N/A结案处理。
对此,Bleeping Computer取得Meta发言人的说法,该公司认为这并非应用程序本身的问题,因此没有打算修补的规划。
但这并非有即时通信软件因并未封锁Python安装文件直接执行,而被发现可被用于攻击的情况。
今年4月,有人于社交媒体网站X、黑客论坛声称Windows版Telegram存在零时差漏洞,攻击者可利用PYZW文件发动攻击,起初Telegram表示无法确认漏洞的存在。后来黑客公布概念性验证(PoC)程序代码,Telegram表示他们针对服务器端进行修补,宣称仅有不到0.01%用户会受到影响。