WhatsApp接收Python、PHP文件不設(shè)防，專家警告這是安全隱患

根據(jù)安全新聞網(wǎng)站Bleeping Computer的報(bào)道，安全研究人員Saumyajeet Das發(fā)現(xiàn)Windows版即時(shí)通信軟件WhatsApp存在弱點(diǎn)，在用戶發(fā)送Python安裝文件（.PYZW）或是PHP文件的時(shí)候不會(huì)進(jìn)行攔截，也不向用戶發(fā)出警示消息，導(dǎo)致攻擊者有機(jī)會(huì)對使用這款通信軟件的開發(fā)人員下手。

研究人員指出，通過發(fā)送Python或PHP文件進(jìn)行漏洞利用攻擊存在先決條件，那就是目標(biāo)計(jì)算機(jī)要安裝Python或PHP，但在軟件開發(fā)人員、安全研究人員、管理者的計(jì)算機(jī)里，往往具有這樣的組態(tài)而可能因此中招，因此這樣的風(fēng)險(xiǎn)相當(dāng)值得留意，因?yàn)榭赡鼙挥糜卺槍π怨簟?/p>

照理來說，若是在消息里的附件類型（如EXE）有可能被黑客用于攻擊的時(shí)候，WhatsApp會(huì)要求用戶必須存儲(chǔ)到磁盤再執(zhí)行，禁止直接打開，但對于上述的程序語言腳本并未管制，使得攻擊者有機(jī)可乘。

除了前述的PYZW、PHP文件，研究人員發(fā)現(xiàn)還有Python壓縮文件（.PYZ）、Windows事件記錄文件（.EVTX）也有相同情形。

6月3日Saumyajeet Das向Meta通報(bào)此事，該公司7月15日回復(fù)，他們在此之前已接獲另一名研究人員的報(bào)告。該名研究人員表示，他通過Meta的漏洞懸賞項(xiàng)目進(jìn)行通報(bào)，但發(fā)現(xiàn)此案竟直接以N/A結(jié)案處理。

對此，Bleeping Computer取得Meta發(fā)言人的說法，該公司認(rèn)為這并非應(yīng)用程序本身的問題，因此沒有打算修補(bǔ)的規(guī)劃。

但這并非有即時(shí)通信軟件因并未封鎖Python安裝文件直接執(zhí)行，而被發(fā)現(xiàn)可被用于攻擊的情況。

今年4月，有人于社交媒體網(wǎng)站X、黑客論壇聲稱Windows版Telegram存在零時(shí)差漏洞，攻擊者可利用PYZW文件發(fā)動(dòng)攻擊，起初Telegram表示無法確認(rèn)漏洞的存在。后來黑客公布概念性驗(yàn)證（PoC）程序代碼，Telegram表示他們針對服務(wù)器端進(jìn)行修補(bǔ)，宣稱僅有不到0.01%用戶會(huì)受到影響。