La aplicación de mensajería WhatsApp es la más usada en el mundo para que los usuarios se comuniquen. Permite mandar fotografías y videos, además de otros tipos de archivos, ofreciendo a los usuarios una gran versatilidad. No es especialmente raro que se dé una brecha de seguridad en alguna de las distribuciones de la aplicación de mensajería. Lo curioso de esta brecha es que afecta a tipos de archivos muy concretos y que, por suerte, no usan la mayoría de usuarios, haciendo que esta brecha en WhatsApp esté muy acotada.
-WhatsApp para Windows tiene una importante vulnerabilidad
Investigadores de seguridad han detectado que WhatsApp para Windows permite ejecutar sin previo aviso archivos mandados a través de la aplicación de Python y PHP. Para que el ataque tenga éxito, es necesario que el destinatario tenga instalado software que permita abrir programas en Python. Dicha condición hace que la cantidad de sistemas vulnerables a un ataque sean mínimos. Quienes más se pueden ver afectados son desarrolladores de software, ingenieros y usuarios avanzados.
No es la primera vez que vemos algo así, en abril, Telegram para Windows ya tuvo una brecha similar. Permitía eludir las advertencias de seguridad y ejecutar de manera remota código mandado en un archivo ‘.pyzw’ de Python mediante el cliente de mensajería. Inicialmente, se negó el problema, pero al final Telegram tuvo que reconocerlo. Tienes que saber que WhatsApp cuenta con una lista de tipos de archivos de riesgo para los usuarios, donde no está Python. Tampoco se encuentra en la lista los archivos PHP (.php) que sería el otro tipo de archivo que pone en riesgo al usuario.
Esto implica que ninguno de estos dos tipos de archivos son bloqueados por la aplicación de mensajería o verificados. Supone un riesgo para la seguridad, ya que se podrían mandar scripts maliciosos sin detección. La vulnerabilidad ha sido detectada mientras el investigador Saumyajeet Das exploraba que tipos de archivos se podían mandar. Se quería saber cuáles no estaban en la lista de potencialmente peligrosos. Das ha detectado que puede mandar un archivo «.EXE» sin problemas, pudiendo el destinatario abrirlo o guardarlo. Algo interesante es que si sencillamente queremos abrirlo, WhtasApp para Windows mostrará un error y no lo ejecutará. Por otro lado, si guardamos el archivo, sí que podremos ejecutarlo sin problemas.
BleepingComputer ha replicado el experimento y hay una larga lista de formatos soportados por WhatsApp para Windows. Se pueden mandar archivos ‘.EXE’, ‘.COM’, ‘.SCR’, ‘.BAT’ y Perl, sin problemas. Por contra, bloquea la ejecución de archivos ‘.DLL’, ‘.HTA’ y ‘.VBS’. Además, tampoco bloquea archivos ‘.PYZ’ (aplicación ZIP de Python), ‘.PYZW’ (programa PyInstaller) y ‘.EVTX’ (archivo de registro de eventos de Windows). Ninguno de los archivos que permite mandar se pueden abrir directamente desde la aplicación. Antes requiere de descargarlos en la unidad de almacenamiento. Saumyajeet habría informado a Meta el pasado 3 de junio, respondiendo la empresa el 15 de julio, indicando que ya habían sido informados por otro investigador. Que sepamos, la compañía no ha corregido el problema y no hay fecha para una solución.