WhatsApp विंडोज के लिए कथित तौर पर एक भेद्यता है जिसका गलत तरीके से इस्तेमाल किया जा सकता है। रिपोर्ट में दावा किया गया है कि सुरक्षा दोष पायथन और PHP की निष्पादन योग्य फ़ाइलों का शोषण करता है जिसके लिए ऐप चेतावनी नहीं भेजता है। नतीजतन, एक अनजान उपयोगकर्ता गलती से फ़ाइल को सहेज सकता है और चला सकता है, जिससे हमलावर पेलोड को तैनात कर सकता है। व्हाट्सएप ने कथित तौर पर कोई भी कार्रवाई करने से इनकार कर दिया है, यह कहते हुए कि समस्या उनके अंत में नहीं है, और यह पहले से ही उपयोगकर्ताओं को अज्ञात प्रेषकों से फ़ाइलें डाउनलोड न करने की चेतावनी देता है।
विंडोज़ के लिए व्हाट्सएप में कथित तौर पर सुरक्षा संबंधी खामी है
एक के अनुसार प्रतिवेदन ब्लीपिंग कंप्यूटर द्वारा, विंडोज़ ऐप के लिए व्हाट्सएप के नवीनतम संस्करण में यह भेद्यता पाई गई थी। ऐसा कहा जाता है कि यह उपयोगकर्ताओं को निष्पादन योग्य प्रारूप में पायथन और PHP अनुलग्नक भेजने की अनुमति देता है। जब प्राप्तकर्ता के अंत में फ़ाइलें डाउनलोड की जाती हैं, तो इंस्टेंट मैसेजिंग प्लेटफ़ॉर्म से चेतावनी अधिसूचना नहीं मिलती है।
साइबरसिक्यूरिटी फर्म जीरॉन के सिक्यूरिटी रिसर्चर सौम्यजीत दास ने इस सुरक्षा खामी का पता लगाया। रिपोर्ट के अनुसार, ज़्यादातर मामलों में WhatsApp .EXE जैसी संभावित रूप से हानिकारक फ़ाइलों को लॉन्च करने की अनुमति नहीं देता है। जबकि उपयोगकर्ता को ओपन या सेव ऐज़ के विकल्प दिखाई दे सकते हैं, ओपन पर क्लिक करने पर एक त्रुटि उत्पन्न होती है। उपयोगकर्ता अभी भी डिवाइस पर फ़ाइल को सहेज सकता है और इसे लॉन्च कर सकता है, लेकिन चेतावनी फ़ाइल की दुर्भावनापूर्ण प्रकृति की याद दिलाती है। यह व्यवहार .EXE, .COM, .SCR, .BAT और Perl जैसे फ़ाइल फ़ॉर्मेट के लिए सुसंगत बताया गया है।
हालाँकि, शोधकर्ता ने कथित तौर पर पाया कि तीन फ़ाइल प्रकार – .PYZ (पायथन ज़िप ऐप), .PYZW (पायइंस्टॉलर प्रोग्राम), और .EVTX (विंडोज इवेंट लॉग फ़ाइल) – ने त्रुटि चेतावनी को ट्रिगर नहीं किया और उपयोगकर्ता फ़ाइल खोल सकते हैं और उन्हें सीधे ऐप के भीतर से लॉन्च कर सकते हैं। इसके अलावा, प्रकाशन ने पाया कि PHP फ़ाइलों के लिए भी यही अपवाद मौजूद था।
विशेष रूप से, इन फ़ाइल प्रकारों का उपयोग करके किया गया हमला तब तक सफल नहीं होगा जब तक कि उपयोगकर्ता के सिस्टम में पायथन इंस्टॉल न हो। इससे सॉफ़्टवेयर डेवलपर्स, शोधकर्ताओं और उनके सिस्टम पर कोड करने वाले अन्य लोगों के लिए असुरक्षित उपयोगकर्ता कम हो जाते हैं।
प्रकाशन का दावा है कि दास ने इस मुद्दे की सूचना दी मेटा बग बाउंटी प्रोग्राम के तहत 3 जून को एक बग बाउंटी प्रोग्राम शुरू किया गया था। लेकिन 15 जुलाई को कंपनी ने जवाब दिया कि इसी समस्या की रिपोर्ट पहले भी किसी अन्य शोधकर्ता ने की थी। रिपोर्ट के अनुसार, समस्या अभी भी ठीक नहीं हुई है और कहा गया है कि यह विंडोज 11 के लिए नवीनतम व्हाट्सएप संस्करण v2.2428.10.0 में मौजूद है।
व्हाट्सएप के प्रवक्ता ने प्रकाशन को बताया, “हमने शोधकर्ता द्वारा प्रस्तावित प्रस्ताव को पढ़ा है और उनके सबमिशन की सराहना करते हैं। मैलवेयर कई अलग-अलग रूप ले सकता है, जिसमें उपयोगकर्ता को धोखा देने के लिए डाउनलोड करने योग्य फ़ाइलें शामिल हैं। यही कारण है कि हम उपयोगकर्ताओं को चेतावनी देते हैं कि वे किसी ऐसे व्यक्ति की फ़ाइल पर कभी भी क्लिक न करें या न खोलें जिसे वे नहीं जानते, चाहे उन्हें यह फ़ाइल व्हाट्सएप या किसी अन्य ऐप से मिली हो।”
