WhatsApp接收Python、PHP文件不設(shè)防，專家警告這是安全隱患

根據(jù)安全新聞網(wǎng)站Bleeping Computer的報道，安全研究人員Saumyajeet Das發(fā)現(xiàn)Windows版即時通信軟件WhatsApp存在弱點，在用戶發(fā)送Python安裝文件（.PYZW）或是PHP文件的時候不會進行攔截，也不向用戶發(fā)出警示消息，導(dǎo)致攻擊者有機會對使用這款通信軟件的開發(fā)人員下手。

研究人員指出，通過發(fā)送Python或PHP文件進行漏洞利用攻擊存在先決條件，那就是目標(biāo)計算機要安裝Python或PHP，但在軟件開發(fā)人員、安全研究人員、管理者的計算機里，往往具有這樣的組態(tài)而可能因此中招，因此這樣的風(fēng)險相當(dāng)值得留意，因為可能被用于針對性攻擊。

照理來說，若是在消息里的附件類型（如EXE）有可能被黑客用于攻擊的時候，WhatsApp會要求用戶必須存儲到磁盤再執(zhí)行，禁止直接打開，但對于上述的程序語言腳本并未管制，使得攻擊者有機可乘。

除了前述的PYZW、PHP文件，研究人員發(fā)現(xiàn)還有Python壓縮文件（.PYZ）、Windows事件記錄文件（.EVTX）也有相同情形。

6月3日Saumyajeet Das向Meta通報此事，該公司7月15日回復(fù)，他們在此之前已接獲另一名研究人員的報告。該名研究人員表示，他通過Meta的漏洞懸賞項目進行通報，但發(fā)現(xiàn)此案竟直接以N/A結(jié)案處理。

對此，Bleeping Computer取得Meta發(fā)言人的說法，該公司認(rèn)為這并非應(yīng)用程序本身的問題，因此沒有打算修補的規(guī)劃。

但這并非有即時通信軟件因并未封鎖Python安裝文件直接執(zhí)行，而被發(fā)現(xiàn)可被用于攻擊的情況。

今年4月，有人于社交媒體網(wǎng)站X、黑客論壇聲稱Windows版Telegram存在零時差漏洞，攻擊者可利用PYZW文件發(fā)動攻擊，起初Telegram表示無法確認(rèn)漏洞的存在。后來黑客公布概念性驗證（PoC）程序代碼，Telegram表示他們針對服務(wù)器端進行修補，宣稱僅有不到0.01%用戶會受到影響。