WhatsApp’ın Windows için son sürümünde bulunan bir güvenlik sorunu, alıcı açtığında herhangi bir uyarı verilmeden Python ve PHP ekleri gönderilmesine olanak tanıyor.
Saldırının başarılı olması için Python’un kurulu olması gerekiyor. Bu da hedeflerin sadece yazılım geliştiricileri, araştırmacılar ve ileri düzey kullanıcılarla sınırlı kalması anlamına gelebilir.
Sorun, Nisan ayında Windows için Telegram’ı etkileyen, başlangıçta reddedilen ancak daha sonra düzeltilen soruna benziyor. Bu soruna göre saldırganlar, mesajlaşma istemcisi üzerinden bir Python .pyzw dosyası gönderirken güvenlik uyarılarını atlatabiliyor ve uzaktan kod yürütme gerçekleştirebiliyordu.
WhatsApp, kullanıcılar için risk taşıdığı düşünülen birden fazla dosya türünü engelliyor ancak şirket, BleepingComputer’a Python betiklerini listeye eklemeyi planlamadığını söylüyor.
BleepingComputer tarafından yapılan ileri testler, PHP dosyalarının (.php) WhatsApp’ın engellenenler listesine dahil olmadığını gösteriyor.
Python, PHP betikleri engellenmiyor
Güvenlik araştırmacısı Saumyajeet Das, uygulamanın riskli olanlara izin verip vermediğini görmek için WhatsApp konuşmalarına eklenebilecek dosya türlerini denerken bu açığı buldu.
.EXE gibi potansiyel olarak tehlikeli bir dosya gönderdiğinizde, WhatsApp bunu gösterir ve alıcıya iki seçenek sunar: Aç veya Farklı Kaydet.
kaynak: BleepingComputer.com
Ancak dosyayı açmaya çalıştığınızda WhatsApp for Windows bir hata oluşturuyor ve kullanıcılara yalnızca dosyayı diske kaydetme ve oradan başlatma seçeneği kalıyor.
BleepingComputer testlerinde, bu davranış Windows için WhatsApp istemcisini kullanan .EXE, .COM, .SCR, .BAT ve Perl dosya türleriyle tutarlıydı. Das, WhatsApp’ın ayrıca .DLL, .HTA ve VBS’nin yürütülmesini engellediğini buldu.
Hepsi için, “Aç”a tıklayarak doğrudan uygulamadan başlatmaya çalışırken bir hata oluştu. Bunları çalıştırmak ancak önce diske kaydettikten sonra mümkün oldu.
kaynak: BleepingComputer
BleepingComputer’a konuşan Das, WhatsApp istemcisinin başlatılmasını engellemediği üç dosya türü bulduğunu söyledi: .PYZ (Python ZIP uygulaması), .PYZW (PyInstaller programı) ve .EVTX (Windows olay günlüğü dosyası).
BleepingComputer’ın testleri, WhatsApp’ın Python dosyalarının yürütülmesini engellemediğini doğruladı ve aynı şeyin PHP betiklerinde de gerçekleştiğini keşfetti.
Eğer tüm kaynaklar mevcutsa, alıcının yapması gereken tek şey alınan dosyadaki “Aç” butonuna tıklamaktır ve betik yürütülür.
Das, sorunu 3 Haziran’da Meta’ya bildirdi ve şirket 15 Temmuz’da sorunun başka bir araştırmacı tarafından daha önce bildirildiğini ve zaten düzeltilmiş olması gerektiğini söyledi.
Araştırmacı BleepingComputer ile iletişime geçtiğinde hatanın Windows için en son WhatsApp sürümünde hala mevcut olduğunu ve Windows 11 v2.2428.10.0’da bunu yeniden üretebildiğimizi gördük.
“Bu sorunu Meta’ya hata ödül programı aracılığıyla bildirdim, ancak ne yazık ki bunu N/A olarak kapattılar. Bu hayal kırıklığı yaratıyor, çünkü bu kolayca giderilebilecek basit bir kusur,” diye açıkladı araştırmacı.
BleepingComputer, araştırmacının raporunu reddetme nedeninin açıklığa kavuşturulması için WhatsApp’a ulaştı ve bir sözcü, bunu kendi taraflarında bir sorun olarak görmediklerini, bu nedenle bir düzeltme planlarının olmadığını açıkladı:
“Araştırmacının önerdiği şeyi okuduk ve katkılarını takdir ediyoruz. Kötü amaçlı yazılımlar, bir kullanıcıyı kandırmayı amaçlayan indirilebilir dosyalar da dahil olmak üzere birçok farklı form alabilir.”
“Bu nedenle kullanıcıları, WhatsApp veya başka bir uygulama üzerinden almış olmaları fark etmeksizin, tanımadıkları birinden gelen bir dosyaya asla tıklamamaları veya açmamaları konusunda uyarıyoruz.”
Şirket temsilcisi ayrıca WhatsApp’ın, kişi listelerinde bulunmayan veya telefon numarası başka bir ülkede kayıtlı olan kullanıcılardan mesaj geldiğinde kullanıcıları uyarmak için bir sisteme sahip olduğunu açıkladı.
Ancak bir kullanıcının hesabı ele geçirilirse, saldırgan kişi listesindeki herkese mesajlaşma uygulamasından doğrudan yürütülmesi daha kolay olan kötü amaçlı komut dosyaları gönderebilir.
Ayrıca, bu tür ekler herkese açık ve özel sohbet gruplarına gönderilebilir ve tehdit aktörleri tarafından kötü amaçlı dosyaları yaymak için kullanılabilir.
WhatsApp’ın haberi reddetmesine yanıt veren Das, projenin durumu ele alış biçiminden duyduğu hayal kırıklığını dile getirdi.
Araştırmacı, “Meta, .pyz ve .pyzw uzantılarını engelleme listesine ekleyerek, bu Pythonic zip dosyaları aracılığıyla olası bir istismarın önüne geçebilir” dedi.
WhatsApp’ın bu konuyu ele alarak “sadece kullanıcılarının güvenliğini artırmakla kalmayacağını, aynı zamanda güvenlik endişelerini derhal çözme konusundaki kararlılığını da göstereceğini” sözlerine ekledi.
BleepingComputer, PHP eklentisinin engellenmediğini bildirmek için WhatsApp ile iletişime geçti ancak şu anda bir yanıt alamadı.
