根據資安新聞網站Bleeping Computer的報導,資安研究人員Saumyajeet Das發現Windows版即時通訊軟體WhatsApp存在弱點,在使用者傳送Python安裝檔(.PYZW)或是PHP檔案的時候不會進行攔截,也不向使用者發出警示訊息,導致攻擊者有機會對使用這款通訊軟體的開發人員下手。

研究人員指出,透過傳送Python或PHP檔案進行漏洞利用攻擊存在先決條件,那就是目標電腦要安裝Python或PHP,但在軟體開發人員、資安研究人員、管理者的電腦裡,往往具有這樣的組態而可能因此中招,因此這樣的風險相當值得留意,因為可能被用於針對性攻擊。

照理來說,若是在訊息裡的附件類型(如EXE)有可能被駭客用於攻擊的時候,WhatsApp會要求使用者必須儲存到磁碟再執行,禁止直接開啟,但對於上述的程式語言指令碼並未管制,使得攻擊者有機可乘。

除了前述的PYZW、PHP檔案,研究人員發現還有Python壓縮檔(.PYZ)、Windows事件記錄檔案(.EVTX)也有相同情形。

6月3日Saumyajeet Das向Meta通報此事,該公司7月15日回覆,他們在此之前已接獲另一名研究人員的報告。該名研究人員表示,他透過Meta的漏洞懸賞專案進行通報,但發現此案竟直接以N/A結案處理。

對此,Bleeping Computer取得Meta發言人的說法,該公司認為這並非應用程式本身的問題,因此沒有打算修補的規畫。

但這並非有即時通訊軟體因並未封鎖Python安裝檔直接執行,而被發現可被用於攻擊的情況。

今年4月,有人於社群網站X、駭客論壇聲稱Windows版Telegram存在零時差漏洞,攻擊者可利用PYZW檔發動攻擊,起初Telegram表示無法確認漏洞的存在。後來駭客公布概念性驗證(PoC)程式碼,Telegram表示他們針對伺服器端進行修補,宣稱僅有不到0.01%用戶會受到影響。

熱門新聞

Advertisement