La dernière mise à jour de WhatsApp pour Windows inquiète la communauté de l’InfoSec : elle permet d’envoyer des pièces jointes Python et PHP et de les exécuter sans aucun avertissement lorsqu’elles sont ouvertes par le destinataire.

🪤Cette vulnérabilité a été découverte par le chercheur en sécurité Saumyajeet Das. Lors de l’envoi d’un fichier Python ou PHP potentiellement dangereux, WhatsApp l’affiche et propose au destinataire deux options : « Ouvrir » ou « Enregistrer sous ».

⚙️Si l’utilisateur essaie d’ouvrir le fichier directement depuis WhatsApp, l’application de messagerie génère une erreur. En revanche, l’exécution des fichiers reçus n’est pas bloquée si l’utilisateur enregistre les fichiers sur son appareil avant de cliquer sur « Ouvrir ».

💣Das a constaté que WhatsApp ne bloque pas l’envoi des fichiers Python (.pyz, .pyzw) et a découvert que la même chose se produit avec les scripts PHP. Si toutes les ressources sont présentes chez le destinataire, il suffit d’un clic de sa part sur « Ouvrir » et le script s’exécute.

😃Saumyajeet Das a signalé le problème à Meta le 3 juin mais la société a répondu qu’ils en avaient déjà eu connaissance par un autre chercheur et qu’ils ne considèrent pas qu’il s’agit d’un problème. Il n’y a donc, selon Meta, pas besoin de correctif.

😇Cette vulnérabilité pourrait être potentiellement exploitée par des attaquants si le compte d’un utilisateur est piraté, leur permettant d’envoyer des scripts malveillants à toute la liste de contacts de la victime. De plus, ces types de pièces jointes pourraient être publiées dans des groupes de discussion publics et privés qui pourraient être utilisés à mauvais escient par des acteurs malveillants pour diffuser des fichiers malveillants.