Bleeping Computerは7月27日(米国時間)、「WhatsApp for Windows lets Python, PHP scripts execute with no warning」において、人気のメッセージアプリ「WhatsApp」のWindows版に、メッセージに添付されたPythonおよびPHPスクリプトを警告なしで実行する脆弱性が存在すると報じた。この脆弱性はセキュリティ研究者のSaumyajeet Das氏により発見された。

  • WhatsApp for Windows lets Python、PHP scripts execute with no warning

    WhatsApp for Windows lets Python, PHP scripts execute with no warning

脆弱性の概要

WhatsAppは実行可能ファイルのような潜在的に危険なファイルを受信すると、「開く」「名前をつけて保存」の2つの選択肢を提示する。ユーザーが「開く」を選択した場合、一般的には実行することになるがWhatsAppは実行をブロックする。

  • 実行可能ファイル受信時に表示される選択肢 - 引用:Bleeping Computer

    実行可能ファイル受信時に表示される選択肢 引用:Bleeping Computer

というのも、WhatsAppにリスクのあるファイルの実行ブロック機能があるからだ。実行可能ファイルはブロック一覧に登録されており、「開く」を選択してもエラーを表示して実行を阻止する。

しかしながら、今回Saumyajeet Das氏はPythonおよびPHPスクリプトファイルをWhatsAppがブロックしないことを発見した。Python ZIPアプリの「.PYZ」や「.PYZW」などはブロック一覧に存在せず、ユーザーが「開く」を選択すると実行されてしまうという。

なお、脆弱性を悪用するには、PythonまたはPHPの実行環境を必要とする。そのため、これらをインストールしていないユーザーには影響はなく、主に開発者、研究者、パワーユーザーに影響する可能性がある。

今後の対応

この脆弱性はWhatsAppの最新版にも存在する。そこでBleeping ComputerはWhatsAppに今後の対応予定を問い合わせたところ、広報担当者は次のように回答し、修正の予定はないと説明したという。

研究者の提案に感謝している。マルウェアはダウンロード可能なファイルなどさまざまな形を取ることができる。ユーザーにはWhatsAppに限らず他のアプリでも、受け取り方にかかわらず、知らない人物からのファイルを決して開かないよう警告している。

また、WhatsAppには連絡先リストに未登録のユーザーまたは国外のユーザーからのメッセージを警告する機能があると説明し、別の対策により保護していることを示唆したとされる。しかしながら、ユーザーアカウントが乗っ取られた場合、この未登録ユーザーの警告は機能しない。攻撃者は侵害したデバイスの連絡先リストに載っているすべてのユーザーに対し、悪意のあるスクリプトを送信することができる。

WhatsAppにはすでにブロック機能が実装されており、ブロック一覧に該当ファイルの拡張子を追加するだけで対策可能とみられている。しかしながら、Metaは対応を渋っており、セキュリティ研究者からは失望の声が寄せられている。