Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

WhatsApp per Windows: Un Grave Bug Consente l’Esecuzione di codice Python!

Redazione RHC : 29 Luglio 2024 11:04

Un problema di sicurezza nell’ultima versione di WhatsApp per Windows consente di inviare allegati Python e PHP che vengono eseguiti senza alcun avviso quando il destinatario li apre. Affinché l’attacco abbia successo, è necessario che Python sia installato, un prerequisito che potrebbe limitare gli obiettivi a sviluppatori di software, ricercatori e utenti esperti.

Il problema è simile a quello che ha colpito Telegram per Windows ad aprile, inizialmente respinto ma poi risolto, consentendo agli aggressori di aggirare gli avvisi di sicurezza ed eseguire codice in remoto inviando un file Python .pyzw tramite il client di messaggistica.

WhatsApp blocca diversi tipi di file considerati rischiosi per gli utenti, ma l’azienda ha dichiarato a che non ha intenzione di aggiungere script Python all’elenco. Ulteriori test di BleepingComputer hanno mostrato che anche i file PHP (.php) non sono inclusi nella blocklist di WhatsApp.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il ricercatore di sicurezza Saumyajeet Das ha scoperto la vulnerabilità mentre sperimentava i tipi di file che potevano essere allegati alle conversazioni WhatsApp per vedere se l’applicazione ne consentiva qualcuno di quelli rischiosi. Quando si invia un file potenzialmente pericoloso, come .EXE, WhatsApp lo mostra e offre al destinatario due opzioni: Apri o Salva con nome.

Opzioni WhatsApp per i file eseguibili
Fonte: BleepingComputer.com

Tuttavia, quando si tenta di aprire il file, WhatsApp per Windows genera un errore, lasciando agli utenti solo la possibilità di salvare il file sul disco e avviarlo da lì. Nei test di BleepingComputer, questo comportamento era coerente con i tipi di file .EXE, .COM, .SCR, .BAT e Perl che utilizzano il client WhatsApp per Windows. Das ha scoperto che WhatsApp blocca anche l’esecuzione di .DLL, .HTA e VBS.

Per tutti, si è verificato un errore quando si è tentato di avviarli direttamente dall’app cliccando su “Apri”. L’esecuzione era possibile solo dopo averli salvati prima sul disco. Parlando con BleepingComputer, Das ha detto di aver trovato tre tipi di file che il client WhatsApp non blocca dall’avvio: .PYZ (app Python ZIP), .PYZW (programma PyInstaller) e .EVTX (file registro eventi di Windows).

I test di BleepingComputer hanno confermato che WhatsApp non blocca l’esecuzione dei file Python e hanno scoperto che lo stesso accade con gli script PHP. Se tutte le risorse sono presenti, tutto ciò che il destinatario deve fare è cliccare sul pulsante “Apri” sul file ricevuto e lo script verrà eseguito.

Il rapporto del ricercatore e il rifiuto di WhatsApp

Das ha segnalato il problema a Meta il 3 giugno e l’azienda ha risposto il 15 luglio, dicendo che il problema era già stato segnalato da un altro ricercatore. Quando il ricercatore ha contattato BleepingComputer, il bug era ancora presente nell’ultima versione di WhatsApp per Windows e potevamo riprodurlo su Windows 11, v2.2428.10.0.

“Ho segnalato questo problema a Meta tramite il loro programma bug bounty, ma sfortunatamente l’hanno chiuso come N/A. È deludente, perché si tratta di un difetto semplice che potrebbe essere facilmente mitigato”, ha spiegato il ricercatore.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Articoli in evidenza

DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...