Windows-версия WhatsApp позволяет запускать Python и PHP без предупреждения

Екатерина Быстрова 29 Июля 2024 - 09:12

...

Windows-версия WhatsApp позволяет запускать Python и PHP без предупреждения

Проблема в безопасности последней версии WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в России) для Windows позволяет отправлять Python- и PHP-вложения, которые будут выполняться на устройстве пользователя без каких-либо предупреждений.

Для успешной эксплуатации этого бага в системе жертвы должен быть установлен Python. Это условие может сузить список потенциальных жертв до разработчиков софта.

Похожая проблема в свое время обнаружилась в другом мессенджере — Telegram. В апреле мы писали, что разработчики «телеги» устранили автоматический запуск Python-скриптов.

Вообще, WhatsApp должен блокировать ряд типов файлов, которые могут представлять опасность для пользователей. Тем не менее разработчики мессенджера заявили в беседе с BleepingComputer, что не планируют включать Python в список блокировки.

Интересно, что в этот же список не попадают файлы с расширением .php. На проблему в безопасности указал исследователь Саумьяджит Дас. Специалист экспериментировал с типами файлов, которые можно прикрепит в чатах WhatsApp.

Если попытаться отправить исполняемый файл в формате .EXE, мессенджер выведет получателю предупреждение, в котором будет две опции: «Открыть» и «Сохранить как».

Однако при попытке открыть файл Windows-версия WhatsApp отображает ошибку и предлагает сохранить полученное вложение. Такое поведение можно наблюдать в случае с файлами .EXE, .COM, .SCR, .BAT и Perl. Кроме того, Дас также обнаружил, что мессенджер блокирует .DLL, .HTA и VBS.

Однако ситуация совершенно иная с расширениями .PYZ (приложение Python ZIP), .PYZW (софт PyInstaller) и .EVTX (файл события журнала Windows). Такая же история с .PHP.

Сначала разработчики WhatsApp в ответ на отчет Даса сообщили, что проблема исправлена, однако тесты BleepingComputer показали, что это не так. По крайней мере, баг присутствует в версии v2.2428.10.0 для Windows.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

В России появилось регулирование ЦОД

Яков Шпунт 16 Июля 2025 - 09:55

Соответствие законодательству РФ Корпорации Государство Соответствие требованиям регуляторов

В базовый закон «О связи» внесены поправки, дающие определение центру обработки данных (ЦОД) и включающие такие объекты в перечень допустимых для концессионных соглашений и проектов государственно-частного и муниципально-частного партнёрства.

Как сообщает «Интерфакс», Госдума 15 июля приняла законопроект, устанавливающий базовое определение ЦОД. Документ № 1195296-7 был внесён правительством в 2021 году и прошёл первое чтение в апреле 2022 года.

Согласно закону, ЦОД — это «совокупность зданий и помещений, предназначенных для обработки и хранения данных, с комплексом инженерно-технического обеспечения».

Также документ закрепляет, что ЦОД включаются в перечень объектов, допускаемых для реализации в рамках концессионных соглашений и партнёрств с участием государства и муниципалитетов. При этом вводится единственное ограничение — в ЦОД запрещено размещать мощности для майнинга криптовалют.

Как отмечает «Коммерсантъ», для открытия ЦОД не потребуется лицензия оператора связи — даже если его мощности сдаются в аренду компаниям, оказывающим телеком-услуги. Также в будущем планируется ввести единый стандарт требований к таким объектам.

Закон предусматривает создание федерального реестра ЦОД, который будет вести Минцифры. Порядок его формирования установит правительство. В реестр будут вноситься сведения о технических характеристиках объектов, требованиях к учредителям, а также нормативы по обеспечению непрерывной работы и безопасности.

Как прокомментировал «Коммерсанту» директор по взаимодействию с органами госвласти компании РТК-ЦОД (входит в структуру «Ростелекома») Дмитрий Панышев, появление официального определения ЦОД позволит решить сразу несколько практических задач: упростить подключение к энергосетям и снизить риски сноса зданий в рамках проектов комплексного развития территорий.

«Введение концессий и ГЧП позволит строить ЦОДы и прокладывать ВОЛС в труднодоступных регионах, включая Арктику, где без поддержки государства такие проекты просто нереализуемы», — отметил в беседе с «Коммерсантом» основатель и генеральный директор инженерной компании «Уралэнерготел» Алексей Бельский.