Un fallo en la versión más reciente de WhatsApp para Windows permite enviar archivos adjuntos con formato Python y PHP que el usuario puede abrir y ejecutar sin que se le muestre una advertencia por el riesgo.
El investigador de ciberseguridad Saumyajeet Das ha identificado una vulnerabilidad en el servicio de mensajería instantánea mientras probaba con el envío de archivos ejecutables a través de las conversaciones.
Normalmente, WhatsApp alerta de determinados archivos ejecutables que considera de riesgo, y da al usuario la opción de descargarlos o abrirlos. En la versión para Windows incluso bloquea el intento de abrirlos, permitiendo solo su descarga.
Este comportamiento se ha identificado en archivos .EXE, .COM, .SCR, .BAT, Perl, .DLL, .HTA y VBS. Sin embargo, el investigador descubrió algunos tipos de archivos que no activan la alerta de riesgo: .PYZ, .PYZW, .EVTX y scripts PHP. Como también ha podido comprobar el portal especializado Bleeping Computer, WhatsApp permite abrir y ejecutar estos archivos.
Según Das, notificó esta vulnerabilidad a Meta, pero la compañía desestimó su descubrimiento dentro del programa de recompensas por considerar que no entraña la gravedad suficiente.
«Hemos leído la propuesta del investigador y agradecemos su presentación. El malware puede adoptar muchas formas diferentes, incluso mediante archivos descargables destinados a engañar al usuario. Es por eso que advertimos a los usuarios que nunca hagan clic ni abran un archivo de alguien que no conocen, independientemente de cómo lo hayan recibido, ya sea por WhatsApp o cualquier otra aplicación», explica Meta en el comunicado facilitado a Bleeping Computer.
Para el ivnestigador, la seguridad de los usuarios de este servicio mejoraría solo con que Meta incorporara a su listado los archivos .PYZ, .PYZW, .EVTX y scripts PHP.