){kind=link}
A Meta divulgou dois boletins de segurança descrevendo vulnerabilidades corrigidas no WhatsApp. As falhas afetam versões do aplicativo para iOS, Android e Windows, e poderiam ser exploradas para enganar usuários com arquivos disfarçados ou para acionar funções do celular sem que a vítima percebesse.
Nenhuma das duas tem registro de exploração ativa. As duas foram reportadas por pesquisadores externos pelo programa de bug bounty da Meta.
smart_display
Nossos vídeos em destaque
O arquivo parecia um documento, mas era um vírus
A primeira vulnerabilidade, identificada como CVE-2026-23863, afeta o WhatsApp para Windows em versões anteriores à v2.3000.1032164386.258709. A falha é classificada como spoofing de anexo, basicamente uma técnica que faz um arquivo malicioso parecer um tipo diferente de arquivo para quem recebe.
Para entender o problema, é preciso saber como sistemas operacionais identificam arquivos. O Windows usa a extensão no final do nome, como .pdf ou .docx, para decidir o que fazer quando o arquivo é aberto. O WhatsApp também lê esse nome para exibir o ícone correto na conversa.
O que a falha permitia era enganar essa leitura usando um caractere invisível chamado byte NUL, representado como \x00. Esse caractere funciona como um ponto de parada para alguns sistemas.
O WhatsApp lia o nome do arquivo, encontrava o byte NUL, parava ali e exibia o arquivo como um documento comum. O Windows, por sua vez, ignorava esse caractere e continuava lendo o restante do nome, onde estava a extensão real do arquivo.
)
Na prática, um atacante poderia enviar um arquivo que aparecia como um PDF inofensivo na tela do WhatsApp. Ao clicar para abrir, o Windows executaria um arquivo executável malicioso. A exploração exigia apenas um clique da vítima, sem nenhuma permissão especial por parte do atacante.
A falha já foi corrigida. Usuários do WhatsApp para Windows devem atualizar o aplicativo para a versão v2.3000.1032164386.258709 ou posterior.
A integração com Reels abria uma porta para o sistema do celular
A segunda vulnerabilidade, CVE-2026-23866, afeta o WhatsApp para iOS nas versões v2.25.8.0 a v2.26.15.72 e o WhatsApp para Android nas versões v2.25.8.0 a v2.26.7.10. O problema estava na forma como o aplicativo processava mensagens com previews de vídeos do Instagram Reels.
)
Quando o WhatsApp exibe um Reel na conversa, ele busca o conteúdo a partir de uma URL, que é basicamente o endereço de onde aquela mídia está hospedada. O aplicativo deveria verificar se essa URL é legítima antes de processá-la. Nas versões afetadas, essa verificação era incompleta.
Isso significava que um atacante poderia criar uma mensagem especialmente formatada para forçar o dispositivo da vítima a buscar conteúdo a partir de uma URL sob controle do criminoso, sem que o usuário precisasse fazer nada além de receber ou interagir com a mensagem.
O ponto mais grave da falha envolve o que o sistema operacional faz com certas URLs. Celulares reconhecem protocolos especiais, chamados de custom URL scheme handlers, que servem para abrir aplicativos ou executar funções diretamente.
)
O protocolo tel:, por exemplo, inicia uma chamada telefônica. O facetime: abre o FaceTime. O itms-apps: redireciona para a App Store. Aplicativos de bancos, redes sociais e outros serviços também registram seus próprios protocolos.
Ao acionar esses handlers sem o consentimento da vítima, um atacante poderia redirecionar o usuário para um site de phishing, abrir outros aplicativos no dispositivo ou acionar funcionalidades do sistema de forma silenciosa.
A Meta corrigiu a falha. Versões posteriores à v2.26.15.72 no iOS e à v2.26.7.10 no Android não são vulneráveis.
)
O que fazer agora
A recomendação é atualizar o WhatsApp em todos os dispositivos. No iOS, a versão segura é qualquer uma posterior à v2.26.15.72. No Android, qualquer versão posterior à v2.26.7.10. No Windows, a versão corrigida é a v2.3000.1032164386.258709 ou superior.
A Meta afirmou não ter encontrado evidências de exploração em ambiente real. Ainda assim, o WhatsApp tem mais de 2 bilhões de usuários ativos globalmente, o que torna qualquer falha não corrigida uma superfície de ataque relevante, especialmente para operações de spyware direcionadas ou grupos patrocinados por estados.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.