WhatsAppのWin版にPython/PHP実行の脆弱性、修正の予定はなし
マイナビニュース / 2024年7月31日 8時47分
Bleeping Computerは7月27日(米国時間)、「WhatsApp for Windows lets Python, PHP scripts execute with no warning」において、人気のメッセージアプリ「WhatsApp」のWindows版に、メッセージに添付されたPythonおよびPHPスクリプトを警告なしで実行する脆弱性が存在すると報じた。この脆弱性はセキュリティ研究者のSaumyajeet Das氏により発見された。
○脆弱性の概要
WhatsAppは実行可能ファイルのような潜在的に危険なファイルを受信すると、「開く」「名前をつけて保存」の2つの選択肢を提示する。ユーザーが「開く」を選択した場合、一般的には実行することになるがWhatsAppは実行をブロックする。
というのも、WhatsAppにリスクのあるファイルの実行ブロック機能があるからだ。実行可能ファイルはブロック一覧に登録されており、「開く」を選択してもエラーを表示して実行を阻止する。
しかしながら、今回Saumyajeet Das氏はPythonおよびPHPスクリプトファイルをWhatsAppがブロックしないことを発見した。Python ZIPアプリの「.PYZ」や「.PYZW」などはブロック一覧に存在せず、ユーザーが「開く」を選択すると実行されてしまうという。
なお、脆弱性を悪用するには、PythonまたはPHPの実行環境を必要とする。そのため、これらをインストールしていないユーザーには影響はなく、主に開発者、研究者、パワーユーザーに影響する可能性がある。
○今後の対応
この脆弱性はWhatsAppの最新版にも存在する。そこでBleeping ComputerはWhatsAppに今後の対応予定を問い合わせたところ、広報担当者は次のように回答し、修正の予定はないと説明したという。
研究者の提案に感謝している。マルウェアはダウンロード可能なファイルなどさまざまな形を取ることができる。ユーザーにはWhatsAppに限らず他のアプリでも、受け取り方にかかわらず、知らない人物からのファイルを決して開かないよう警告している。
また、WhatsAppには連絡先リストに未登録のユーザーまたは国外のユーザーからのメッセージを警告する機能があると説明し、別の対策により保護していることを示唆したとされる。しかしながら、ユーザーアカウントが乗っ取られた場合、この未登録ユーザーの警告は機能しない。攻撃者は侵害したデバイスの連絡先リストに載っているすべてのユーザーに対し、悪意のあるスクリプトを送信することができる。
WhatsAppにはすでにブロック機能が実装されており、ブロック一覧に該当ファイルの拡張子を追加するだけで対策可能とみられている。しかしながら、Metaは対応を渋っており、セキュリティ研究者からは失望の声が寄せられている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Microsoft、Outlookが誤ったセキュリティ通知を表示する問題修正
マイナビニュース / 2024年7月17日 15時55分
-
Microsoft 365およびMicrosoft Officeでアップデートエラーが発生中か
マイナビニュース / 2024年7月12日 8時6分
-
Internet Explorerを悪用する攻撃を確認、アップデート適用を
マイナビニュース / 2024年7月11日 8時46分
-
韓国企業狙うサイバー攻撃の矛先が日本企業へ、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年7月10日 8時49分
-
Apache HTTP Server 2.4、重要な脆弱性修正 - アップデートを
マイナビニュース / 2024年7月5日 7時32分
ランキング
-
1アップル、超薄型「iPhone 17 Slim」発表か Plusシリーズは廃止に
ASCII.jp / 2024年7月30日 20時0分
-
2パリの公衆Wi-Fi、4分の1が安全性に問題──カスペルスキー調査
ASCII.jp / 2024年7月30日 15時0分
-
3楽天モバイル、「Rakuten最強プラン」契約者に楽天ドライブの50GBストレージ容量を無料で提供開始
ポイ探ニュース / 2024年7月31日 10時10分
-
4より“確度”の高い本人確認を――デジタル庁が「マイナンバーカード対面確認アプリ」を作った理由と使い方を説明
ITmedia Mobile / 2024年7月30日 20時55分
-
5ファン待望の販売再開! バーボンウイスキー「I.W.ハーパー 12年」が国内限定で復活
ガジェット通信 / 2024年7月29日 17時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください