Windows版WhatsAppで、ユーザーへの警告なしにPythonおよびPHPスクリプトが実行される恐れ
BleepingComputer – July 27, 2024
Windows版WhatsAppの最新バージョンに、セキュリティ上の問題が見つかったとの報道。この問題により、有害かもしれないPythonおよびPHPの添付ファイルが受信者へのセキュリティ警告なしに実行されてしまう恐れがあるという。
WhatsAppでは、ユーザーにリスクをもたらし得るとみなされる複数のファイルタイプがブロックされるようになっている。例えば .EXE など有害な恐れのあるファイルが送信されると、受信者には「開く」または「名前を付けて保存」の2つのオプションが提示される。しかし「開く」をクリックしてもエラーが出るようになっているため、結局はまずファイルを保存してからでないと実行できない仕組みになっている。同様に、.COM、 .SCR、 .BAT、Perl、.DLL、.HTA、VBSファイルも、保存後でないと実行することはできない。
しかしセキュリティ研究者のSaumyajeet Das氏は、.PYZ(PythonのZIPアプリケーション)、.PYZW(PyInstallerプログラム)、.EVTX(Windows イベントログファイル)の3つのファイルタイプでは上記のように実行がブロックされないことを発見。BleepingComputerもこれをテストしPythonファイルの実行がブロックされないことを確認した上で、さらにPHPスクリプトでも同様のことが起きるのを発見したという。つまり、これら4種のファイルは「開く」ボタンをクリックするだけでそのまま実行されるということになる。ただし、受信先のPCにPythonがインストールされていることが必要条件となる。
Das氏はこの問題を6月3日にメタ社へ報告したものの、Windows版WhatsAppの最新バージョン(v2.2428.10.0)ではまだ解消されていない。BleepingComputerがWhatsAppに問い合わせたところ、同プロジェクトの側ではこれを問題とみなしていないため、修正の予定はないとの回答が返ってきたという。WhatsAppの担当者は、マルウェアがダウンロード可能なファイルを含むさまざまな形態で配布される点に触れた上で、「だからこそWhatsAppではユーザーに対し、知らない相手から送られてきたファイルを決してクリックしたり開いたりしないよう警告している」と述べている。
ただ、ユーザーのアカウントが乗っ取られてそこから連絡先リスト内のユーザーに有害ファイルが送られたり、チャットグループ内でこうしたファイルが送られるシナリオも考えられる。Das氏がPythonファイルについて報告したのち、BleepingComputerもPHPファイルがブロックされない件についてWhatsAppに伝えたものの、まだ返答は得られていないとのこと。