Windows-версия WhatsApp позволяет запускать Python и PHP без предупреждения

Екатерина Быстрова 29 Июля 2024 - 09:12

...

Windows-версия WhatsApp позволяет запускать Python и PHP без предупреждения

Проблема в безопасности последней версии WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в России) для Windows позволяет отправлять Python- и PHP-вложения, которые будут выполняться на устройстве пользователя без каких-либо предупреждений.

Для успешной эксплуатации этого бага в системе жертвы должен быть установлен Python. Это условие может сузить список потенциальных жертв до разработчиков софта.

Похожая проблема в свое время обнаружилась в другом мессенджере — Telegram. В апреле мы писали, что разработчики «телеги» устранили автоматический запуск Python-скриптов.

Вообще, WhatsApp должен блокировать ряд типов файлов, которые могут представлять опасность для пользователей. Тем не менее разработчики мессенджера заявили в беседе с BleepingComputer, что не планируют включать Python в список блокировки.

Интересно, что в этот же список не попадают файлы с расширением .php. На проблему в безопасности указал исследователь Саумьяджит Дас. Специалист экспериментировал с типами файлов, которые можно прикрепит в чатах WhatsApp.

Если попытаться отправить исполняемый файл в формате .EXE, мессенджер выведет получателю предупреждение, в котором будет две опции: «Открыть» и «Сохранить как».

Однако при попытке открыть файл Windows-версия WhatsApp отображает ошибку и предлагает сохранить полученное вложение. Такое поведение можно наблюдать в случае с файлами .EXE, .COM, .SCR, .BAT и Perl. Кроме того, Дас также обнаружил, что мессенджер блокирует .DLL, .HTA и VBS.

Однако ситуация совершенно иная с расширениями .PYZ (приложение Python ZIP), .PYZW (софт PyInstaller) и .EVTX (файл события журнала Windows). Такая же история с .PHP.

Сначала разработчики WhatsApp в ответ на отчет Даса сообщили, что проблема исправлена, однако тесты BleepingComputer показали, что это не так. По крайней мере, баг присутствует в версии v2.2428.10.0 для Windows.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Мая 2026 - 20:00

Сталкерский софт (stalkerware) Домашние пользователи Лаборатория Касперского

В 6 из 10 случаев цифровой агрессор — знакомый человек

Цифровое насилие — это не только мутные анонимы из интернета и токсичные комментарии от людей с аватаркой кота. По данным глобального отчёта «Лаборатории Касперского», почти 60% жертв сталкивались с цифровым насилием со стороны людей из своего окружения.

Чаще всего агрессорами оказывались друзья — на них пришлось 15% случаев. Дальше идут нынешние партнёры — 10%, коллеги — 8%, члены семьи — 7% и бывшие партнёры — 6%.

То есть проблема часто сидит не где-то «в интернете вообще», а в переписках, семейных чатах, отношениях, работе и других местах, где вроде бы должно быть безопаснее.

Отдельно исследователи отмечают неприятную закономерность: люди, которые сталкивались с цифровым насилием со стороны друзей, партнёров или родственников, чаще признавались, что сами допускали похожее поведение по отношению к близким.

Это может говорить о том, что цифровая агрессия иногда превращается в привычный стиль общения: контроль, давление, слежка, обиды и месть переезжают в смартфон и становятся частью повседневности.

В Нижегородском женском кризисном центре отмечают, что цифровое насилие нередко используется как инструмент контроля, преследования и психологического давления со стороны близких людей. По данным центра, 72% обращений связаны с насилием со стороны супруга или партнёра, ещё 10% — со стороны родителей или родственников.

Поколенческий разрыв тоже заметен. Среди зумеров 81% знают термин «цифровое насилие», а почти 60% заявили, что за последний год сталкивались хотя бы с одной его формой. Среди беби-бумеров термин знаком 64% респондентов.

Женщины чаще говорят о чувстве уязвимости в цифровой среде. Небезопасно в интернете себя чувствуют 62,5% респонденток против 54% мужчин.

Психологи подчёркивают: когда агрессором становится знакомый человек, вред ощущается сильнее. К страху и потере контроля добавляется предательство, особенно если речь идёт о партнёре, друге, бывшем партнёре или коллеге. А технологии превращаются в инструмент кибермести: доступ к аккаунтам, переписки, фотографии, геолокация и старые пароли внезапно становятся оружием.

С точки зрения кибербезопасности эта история тоже сложнее обычной атаки. Угроза может идти не от неизвестного хакера, а от человека, у которого когда-то был доступ к устройству, аккаунту, семейной подписке, общему облаку или паролю на всякий случай.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!