A Meta publicou dois boletins de segurança detalhando a correção de vulnerabilidades no WhatsApp que afetavam versões do aplicativo para Windows, Android e iOS. As falhas poderiam ser exploradas para disfarçar arquivos maliciosos como documentos legítimos ou até acionar recursos do smartphone sem o consentimento do usuário.
Segundo a empresa, não há indícios de exploração ativa das brechas até o momento. Ambas foram identificadas por pesquisadores externos por meio do programa de recompensa por bugs da Meta.
A primeira vulnerabilidade, registrada como CVE-2026-23863, impactava o WhatsApp para Windows em versões anteriores à v2.3000.1032164386.258709. O problema envolvia uma técnica conhecida como spoofing de anexo, que permitia camuflar arquivos executáveis como se fossem documentos comuns.
Na prática, o ataque explorava uma inconsistência na forma como o WhatsApp e o Windows interpretavam nomes de arquivos contendo o caractere invisível conhecido como byte NUL. O aplicativo exibia o anexo como um PDF ou documento inofensivo, enquanto o sistema operacional reconhecia sua extensão real e executava o arquivo malicioso ao ser aberto. Bastava um clique da vítima para a execução.
A segunda falha, identificada como CVE-2026-23866, afetava o WhatsApp para iOS entre as versões v2.25.8.0 e v2.26.15.72, além do Android entre v2.25.8.0 e v2.26.7.10.
O problema estava na forma como o app processava prévias de vídeos do Instagram Reels. A validação incompleta das URLs permitia que mensagens manipuladas direcionassem o dispositivo para endereços controlados por atacantes.
Isso abria margem para a ativação silenciosa de protocolos especiais do sistema operacional, os chamados custom URL schemes, usados para abrir aplicativos ou executar ações específicas. Com isso, um invasor poderia iniciar chamadas, redirecionar a vítima para páginas de phishing, abrir apps instalados ou acionar outras funções do aparelho sem autorização explícita.
A Meta já distribuiu as correções.
Para se proteger, os usuários devem atualizar o aplicativo imediatamente. As versões seguras são:
- Windows: v2.3000.1032164386.258709 ou superior
- iOS: versões posteriores à v2.26.15.72
- Android: versões posteriores à v2.26.7.10
Embora a empresa afirme não ter encontrado sinais de ataques reais explorando as falhas, o alcance global do WhatsApp — com mais de 2 bilhões de usuários — transforma qualquer vulnerabilidade não corrigida em um risco relevante, especialmente para campanhas sofisticadas de espionagem digital e ataques direcionados.
