Falha no WhatsApp permite executar Python e PHP

O WhatsApp permite que sejam executados script Python e PHP recebidos, sem avisar os utilizadores.

Foi descoberta uma falha de segurança no WhatsApp para Windows, que permite que scripts Python e PHP sejam executados. No entanto, há que esclarecer que para tal é preciso que os utilizadores tenham o Python ou PHP instalados nos seus sistemas, para permitir a sua execução, e também será necessário que escolham a opção de "abrir" o ficheiro quando é recebido. A diferença de comportamento é que, tradicionalmente, o WhatsApp impede a execução directa de ficheiros executáveis enviados, e neste caso, não o faz.

Esta vulnerabilidade é semelhante a uma que afectou o Telegram para Windows em Abril, onde os atacantes podiam contornar avisos de segurança e executar código remoto enviando um ficheiro Python através do cliente de mensagens. Embora o Telegram tenha corrigido a questão, o WhatsApp não planeia adicionar scripts Python à sua lista de bloqueios.

A falha será de gravidade relativa, uma vez que os utilizadores têm expressamente que clicar no botão de "abrir" para que estes scripts sejam executados, e também ter o sistema com as respectivas instalações que permitam a execução de ficheiros .PYZ (Python ZIP app), .PYZW (PyInstaller program), e PHP. De qualquer forma, nem que fosse simplesmente para manter a consistência na forma como os executáveis são tratados, não seria má ideia se o WhatsApp aplicasse a estes ficheiros a mesma regra que aplica aos ficheiros .EXE, .COM, .SCR, .BAT e .DLL, que têm a execução imediata bloqueada, sendo primeiro necessário gravá-los para o sistema e só depois podendo ser executados (com os avisos adicionais de sistema de que podem ser ficheiros maliciosos).