Falha no WhatsApp permite que hackers executem códigos maliciosos em PCs com Windows

A Meta alertou usuários do Windows para atualizarem o aplicativo de mensagens WhatsApp para a versão mais recente, a fim de corrigir uma vulnerabilidade que pode permitir que hackers executem códigos maliciosos em seus dispositivos.

Classificada como uma falha de spoofing e identificada como CVE-2025-30401, essa brecha de segurança pode ser explorada por meio do envio de arquivos manipulados com tipos de arquivos alterados para vítimas em potencial. A Meta informou que todas as versões do WhatsApp para Windows foram afetadas e que o problema foi corrigido na versão 2.2450.6 do aplicativo.

"Um problema de spoofing no WhatsApp para Windows, anterior à versão 2.2450.6, exibia anexos de acordo com seu tipo MIME, mas abria o arquivo com base na extensão do nome do arquivo", explicou a equipe do WhatsApp em um comunicado divulgado na terça-feira.

"Um conflito malicioso entre o tipo MIME e a extensão do arquivo poderia fazer com que o destinatário executasse involuntariamente um código arbitrário ao abrir manualmente o anexo dentro do WhatsApp."

Segundo a Meta, a falha foi descoberta e relatada por um pesquisador externo por meio do programa de recompensas de bugs da empresa. Ainda não há informações se a vulnerabilidade CVE-2025-30401 foi explorada ativamente.

Em julho de 2024, o WhatsApp já havia corrigido uma falha semelhante, que permitia a execução automática de anexos Python e PHP em dispositivos com Windows que tivessem o Python instalado, sem qualquer aviso ao usuário.

Frequentemente alvo de ataques com spyware

Mais recentemente, após investigações de pesquisadores da Citizen Lab, da Universidade de Toronto, o WhatsApp corrigiu uma falha de segurança do tipo zero-click e zero-day, que estava sendo explorada para instalar o spyware Graphite, desenvolvido pela empresa Paragon.

A empresa afirmou que a brecha foi resolvida no final do ano passado por meio de ajustes do lado do servidor, sem necessidade de correções no aplicativo, e decidiu não atribuir um CVE ao caso após análise das diretrizes do MITRE e suas políticas internas.

Em 31 de janeiro, após mitigar o problema nos servidores, o WhatsApp notificou cerca de 90 usuários de Android em mais de vinte países — incluindo jornalistas e ativistas italianos — que foram alvos de ataques com o spyware da Paragon usando o exploit de zero clique.

Em dezembro passado, um juiz federal dos Estados Unidos determinou que o grupo israelense NSO Group violou leis de invasão ao usar falhas do WhatsApp para implantar o spyware Pegasus em pelo menos 1.400 dispositivos. Documentos judiciais revelaram que os desenvolvedores do NSO teriam feito engenharia reversa no código do WhatsApp para criar ferramentas capazes de enviar mensagens maliciosas e instalar o spyware, infringindo leis federais e estaduais.

Via - BC