Bleeping Computerは7月27日(米国時間)、「WhatsApp for Windows lets Python, PHP scripts execute with no warning」において、人気のメッセージアプリ「WhatsApp」のWindows版に、メッセージに添付されたPythonおよびPHPスクリプトを警告なしで実行する脆弱性が存在すると報じた。この脆弱性はセキュリティ研究者のSaumyajeet Das氏により発見された。
WhatsApp for Windows lets Python, PHP scripts execute with no warning
○脆弱性の概要
WhatsAppは実行可能ファイルのような潜在的に危険なファイルを受信すると、「開く」「名前をつけて保存」の2つの選択肢を提示する。ユーザーが「開く」を選択した場合、一般的には実行することになるがWhatsAppは実行をブロックする。
実行可能ファイル受信時に表示される選択肢 引用:Bleeping Computer
というのも、WhatsAppにリスクのあるファイルの実行ブロック機能があるからだ。実行可能ファイルはブロック一覧に登録されており、「開く」を選択してもエラーを表示して実行を阻止する。
しかしながら、今回Saumyajeet Das氏はPythonおよびPHPスクリプトファイルをWhatsAppがブロックしないことを発見した。Python ZIPアプリの「.PYZ」や「.PYZW」などはブロック一覧に存在せず、ユーザーが「開く」を選択すると実行されてしまうという。
なお、脆弱性を悪用するには、PythonまたはPHPの実行環境を必要とする。そのため、これらをインストールしていないユーザーには影響はなく、主に開発者、研究者、パワーユーザーに影響する可能性がある。
○今後の対応
この脆弱性はWhatsAppの最新版にも存在する。そこでBleeping ComputerはWhatsAppに今後の対応予定を問い合わせたところ、広報担当者は次のように回答し、修正の予定はないと説明したという。
研究者の提案に感謝している。マルウェアはダウンロード可能なファイルなどさまざまな形を取ることができる。ユーザーにはWhatsAppに限らず他のアプリでも、受け取り方にかかわらず、知らない人物からのファイルを決して開かないよう警告している。
また、WhatsAppには連絡先リストに未登録のユーザーまたは国外のユーザーからのメッセージを警告する機能があると説明し、別の対策により保護していることを示唆したとされる。しかしながら、ユーザーアカウントが乗っ取られた場合、この未登録ユーザーの警告は機能しない。攻撃者は侵害したデバイスの連絡先リストに載っているすべてのユーザーに対し、悪意のあるスクリプトを送信することができる。
WhatsAppにはすでにブロック機能が実装されており、ブロック一覧に該当ファイルの拡張子を追加するだけで対策可能とみられている。しかしながら、Metaは対応を渋っており、セキュリティ研究者からは失望の声が寄せられている。
PCMAX
ITトピックス
ITランキング
- 1
閉店相次ぐ地方百貨店、復活への「特別」画像あり
- 2
7割以上の家庭に住宅侵入リスクあり / 「COSORI TurboBlaze 6.0L ノンフライヤー」レビュー【まとめ記事】画像あり
- 3
サンリオピューロランド「PUROHALLOWEEN」/ おにぎりと緑茶を楽しむ「おにぎりと綾鷹屋」【まとめ記事】画像あり
- 4
コンパクトで座り心地抜群!オフィスチェア画像あり
- 5
Salesforce、AIトレーニングを無償提供 - 本社にAIスキル向上フロア設置画像あり
- 6
【YOASOBIコメントあり】Ginza Sony Park(工事中)× YOASOBI画像あり
- 7
Google Chrome基本キーボードショートカット11選(WindowsとmacOS)画像あり
- 8
台湾政府、セキュリティの問題からZoomの利用を禁止画像あり
- 9
個人の力を組織に。企業が組織としてのつながりを生み出す!人材育成・組織開発の新コーチングサービス『THE COACH for Business』発表会画像あり
- 10
ルイ・ヴイトン「SERIES 1 - THAT WAS THEN, THIS IS NOW」〜前編〜画像あり