Masalah keamanan di WhatsApp versi terbaru untuk Windows memungkinkan pengiriman lampiran Python dan PHP yang dieksekusi tanpa peringatan apa pun saat penerima membukanya.
Agar serangan berhasil, Python perlu diinstal, prasyarat yang dapat membatasi target pada pengembang perangkat lunak, peneliti, dan pengguna berpengalaman.
Masalahnya mirip dengan yang mempengaruhi Telegram untuk Windows pada bulan April, yang awalnya ditolak tapi kemudian diperbaikitempat penyerang dapat melewati peringatan keamanan dan melakukan eksekusi kode jarak jauh saat mengirim file Python .pyzw melalui klien perpesanan.
WhatsApp memblokir beberapa jenis file yang dianggap membawa risiko bagi pengguna tetapi perusahaan tersebut mengatakan kepada BleepingComputer bahwa mereka tidak berencana untuk menambahkan skrip Python ke dalam daftar tersebut.
Pengujian lebih lanjut oleh BleepingComputer menunjukkan bahwa file PHP (.php) juga tidak termasuk dalam daftar blokir WhatsApp.
Skrip Python, PHP tidak diblokir
Peneliti keamanan Saumyajeet Das menemukan kerentanan saat bereksperimen dengan jenis file yang dapat dilampirkan ke percakapan WhatsApp untuk melihat apakah aplikasi tersebut mengizinkan percakapan yang berisiko.
Saat mengirim file yang berpotensi berbahaya, seperti .EXE, WhatsApp akan menampilkannya dan memberikan dua pilihan kepada penerima: Buka atau Simpan Sebagai.
sumber: BleepingComputer.com
Namun, saat mencoba membuka berkas tersebut, WhatsApp untuk Windows menghasilkan kesalahan, sehingga pengguna hanya memiliki pilihan untuk menyimpan berkas ke disk dan meluncurkannya dari sana.
Dalam pengujian BleepingComputer, perilaku ini konsisten dengan jenis file .EXE, .COM, .SCR, .BAT, dan Perl yang menggunakan klien WhatsApp untuk Windows. Das menemukan bahwa WhatsApp juga memblokir eksekusi .DLL, .HTA, dan VBS.
Untuk semuanya, terjadi kesalahan saat mencoba meluncurkannya langsung dari aplikasi dengan mengeklik “Buka.” Menjalankannya hanya mungkin setelah menyimpannya ke disk terlebih dahulu.
sumber: BleepingComputer
Berbicara kepada BleepingComputer, Das mengatakan bahwa ia menemukan tiga jenis file yang tidak diblokir agar tidak diluncurkan oleh klien WhatsApp: .PYZ (aplikasi ZIP Python), .PYZW (program PyInstaller), dan .EVTX (file Log peristiwa Windows).
Pengujian BleepingComputer mengonfirmasi bahwa WhatsApp tidak memblokir eksekusi file Python dan menemukan hal yang sama terjadi dengan skrip PHP.
Jika semua sumber daya tersedia, yang perlu dilakukan penerima hanyalah mengeklik tombol “Buka” pada berkas yang diterima, dan skrip akan dijalankan.
Das melaporkan masalah tersebut ke Meta pada tanggal 3 Juni dan perusahaan tersebut membalas pada tanggal 15 Juli dengan mengatakan bahwa masalah tersebut telah dilaporkan oleh peneliti lain dan seharusnya sudah diperbaiki.
Saat peneliti menghubungi BleepingComputer, bug tersebut masih ada di rilis WhatsApp terbaru untuk Windows, dan kami dapat mereproduksinya di Windows 11, v2.2428.10.0.
“Saya telah melaporkan masalah ini ke Meta melalui program bug bounty mereka, tetapi sayangnya, mereka menutupnya sebagai N/A. Ini mengecewakan, karena ini adalah kelemahan yang sebenarnya dapat diatasi dengan mudah,” jelas peneliti tersebut.
BleepingComputer menghubungi WhatsApp untuk klarifikasi tentang alasan penolakan laporan peneliti tersebut, dan seorang juru bicara menjelaskan bahwa mereka tidak melihatnya sebagai masalah di pihak mereka, jadi tidak ada rencana untuk memperbaikinya:
“Kami telah membaca apa yang diajukan peneliti dan menghargai pengajuan mereka. Malware dapat muncul dalam berbagai bentuk, termasuk melalui file yang dapat diunduh yang dimaksudkan untuk mengelabui pengguna.”
“Itulah sebabnya kami memperingatkan pengguna untuk tidak pernah mengeklik atau membuka berkas dari seseorang yang tidak mereka kenal, terlepas dari bagaimana mereka menerimanya — baik melalui WhatsApp atau aplikasi lainnya.”
Perwakilan perusahaan itu juga menjelaskan bahwa WhatsApp memiliki sistem untuk memperingatkan pengguna saat mereka menerima pesan dari pengguna yang tidak tercantum dalam daftar kontak mereka, atau yang nomor teleponnya terdaftar di negara lain.
Namun demikian, jika akun pengguna dibajak, penyerang dapat mengirim skrip berbahaya ke semua orang di daftar kontak yang lebih mudah dieksekusi langsung dari aplikasi perpesanan.
Lebih jauh lagi, jenis lampiran ini dapat diposting ke grup obrolan publik dan privat, yang dapat disalahgunakan oleh pelaku ancaman untuk menyebarkan file berbahaya.
Menanggapi penolakan WhatsApp terhadap laporan tersebut, Das menyatakan kekecewaannya terhadap cara proyek tersebut menangani situasi tersebut.
“Dengan hanya menambahkan ekstensi .pyz dan .pyzw ke daftar blokirnya, Meta dapat mencegah potensi eksploitasi melalui file zip Pythonic ini,” kata peneliti tersebut.
Ia menambahkan bahwa dengan mengatasi masalah tersebut, WhatsApp “tidak hanya akan meningkatkan keamanan penggunanya tetapi juga menunjukkan komitmen mereka untuk segera menyelesaikan masalah keamanan.
BleepingComputer menghubungi WhatsApp untuk memberi tahu mereka bahwa ekstensi PHP juga tidak diblokir tetapi belum menerima respons saat ini.
