Пользователи WhatsApp Desktop для Windows, у которых установлен Python, столкнулись с критической уязвимостью, позволяющей злоумышленникам выполнять произвольный код на целевых устройствах. Уязвимость связана с обработкой файлов формата .pyz (Python Zip Application), которые при двойном клике запускаются через интерпретатор Python без дополнительных предупреждений.
Эксперты по кибербезопасности обнаружили, что атакующие могут отправлять вредоносные .pyz-файлы через функцию передачи файлов в WhatsApp Desktop. Эти файлы маскируются под легитимные вложения, такие как документы или обновления профиля. При скачивании и открытии такого файла жертвой система автоматически запускает встроенный в архив Python-код, что приводит к немедленному выполнению вредоносных инструкций.
Техническая сторона уязвимости заключается в том, что WhatsApp Desktop регистрирует ассоциацию файлов .pyz с установленным на компьютере Python. В отличие от исполняемых .exe-файлов, архивы .pyz не вызывают подозрений у рядовых пользователей и не блокируются стандартными системами защиты по умолчанию. Это позволяет злоумышленникам внедрять в архивы бэкдоры, программы-шифровальщики или инструменты для кражи учетных данных.
Сценарий атаки уже был опробован в похожей уязвимости мессенджера Telegram Desktop, которую оперативно устранили разработчики. Однако Meta*, владеющая WhatsApp, пока не признала проблему критической и не выпустила патч. Представители компании утверждают, что файлы .pyz считаются исполняемыми и ответственность за их открытие лежит на пользователях.
Эксперты не согласны с такой позицией. Они указывают на то, что многие пользователи, включая не-технических специалистов, могут случайно запустить подозрительный файл, не понимая его потенциальной опасности. Кроме того, Python часто установлен в системах разработчиков, аналитиков и IT-администраторов, что делает их первоочередными мишенями для атак.
Для снижения рисков специалисты рекомендуют переопределить ассоциацию файлов .pyz в настройках Windows, чтобы они не открывались через Python автоматически. Также полезно использовать антивирусные решения с функцией контроля приложений и фильтрации нежелательных форматов файлов. Важно обучать пользователей проверять расширения файлов и сканировать вложения перед открытием.
На текущий момент Meta* не анонсировала сроки выпуска обновления, что оставляет миллионы пользователей под угрозой. Растущее внимание к уязвимости со стороны экспертов и сообщества может ускорить процесс разработки патча. Опыт Telegram показывает, что подобные проблемы решаются быстро - в течение нескольких дней после подтверждения уязвимости.
Ситуация демонстрирует общий тренд: злоумышленники все чаще используют легитные инструменты и форматы файлов для обхода защитных механизмов. Это требует от разработчиков более строгой валидации обрабатываемых файлов и внедрения многоуровневых предупреждений для пользователей.
Особую осторожность следует проявлять корпоративным пользователям, так как успешная атака через .pyz-файл может привести к компрометации не только отдельного компьютера, но и всей сетевой инфраструктуры. Рекомендуется ограничить получение исполняемых и архивных форматов через мессенджеры или использовать изолированные среды для их анализа.
В условиях отсутствия официального исправления ключевую роль играет осведомленность пользователей и применение превентивных мер защиты. Ожидается, что публикация подробностей уязвимости повысит давление на Meta* и ускорит выпуск обновления безопасности для WhatsApp Desktop.
* Организация Meta признана экстремистскими на территории РФ.
