05 maio Meta corrige duas falhas no WhatsApp para iOS, Android e Windows
A Meta divulgou dois boletins de segurança descrevendo vulnerabilidades corrigidas no WhatsApp. As falhas afetam versões do aplicativo para iOS, Android e Windows, e poderiam ser exploradas para enganar usuários com arquivos disfarçados ou para acionar funções do celular sem que a vítima percebesse.
Nenhuma das duas tem registro de exploração ativa. As duas foram reportadas por pesquisadores externos pelo programa de bug bounty da Meta.
O arquivo parecia um documento, mas era um vírus
A primeira vulnerabilidade, identificada como CVE-2026-23863, afeta o WhatsApp para Windows em versões anteriores à v2.3000.1032164386.258709. A falha é classificada como spoofing de anexo, basicamente uma técnica que faz um arquivo malicioso parecer um tipo diferente de arquivo para quem recebe.
Ao acionar protocolos do sistema operacional sem consentimento da vítima, a CVE-2026-23866 abria caminho para redirecionamentos a sites de phishing.
Para entender o problema, é preciso saber como sistemas operacionais identificam arquivos. O Windows usa a extensão no final do nome, como .pdf ou .docx, para decidir o que fazer quando o arquivo é aberto. O WhatsApp também lê esse nome para exibir o ícone correto na conversa.
O que a falha permitia era enganar essa leitura usando um caractere invisível chamado byte NUL, representado como x00. Esse caractere funciona como um ponto de parada para alguns sistemas.
O WhatsApp lia o nome do arquivo, encontrava o byte NUL, parava ali e exibia o arquivo como um documento comum. O Windows, por sua vez, ignorava esse caractere e continuava lendo o restante do nome, onde estava a extensão real do arquivo.
Na versão para Windows, o arquivo chegava à vítima com aparência de documento PDF comum, mas executava código malicioso ao ser aberto.
Na prática, um atacante poderia enviar um arquivo que aparecia como um PDF inofensivo na tela do WhatsApp. Ao clicar para abrir, o Windows executaria um arquivo executável malicioso. A exploração exigia apenas um clique da vítima, sem nenhuma permissão especial por parte do atacante.
A falha já foi corrigida. Usuários do WhatsApp para Windows devem atualizar o aplicativo para a versão v2.3000.1032164386.258709 ou posterior.
A integração com Reels abria uma porta para o sistema do celular
A segunda vulnerabilidade, CVE-2026-23866, afeta o WhatsApp para iOS nas versões v2.25.8.0 a v2.26.15.72 e o WhatsApp para Android nas versões v2.25.8.0 a v2.26.7.10. O problema estava na forma como o aplicativo processava mensagens com previews de vídeos do Instagram Reels.
CVE-2026-23866 afetava o WhatsApp para iOS e Android; versões corrigidas já estão disponíveis para atualização.
Quando o WhatsApp exibe um Reel na conversa, ele busca o conteúdo a partir de uma URL, que é basicamente o endereço de onde aquela mídia está hospedada. O aplicativo deveria verificar se essa URL é legítima antes de processá-la. Nas versões afetadas, essa verificação era incompleta.
Isso significava que um atacante poderia criar uma mensagem especialmente formatada para forçar o dispositivo da vítima a buscar conteúdo a partir de uma URL sob controle do criminoso, sem que o usuário precisasse fazer nada além de receber ou interagir com a mensagem.
O ponto mais grave da falha envolve o que o sistema operacional faz com certas URLs. Celulares reconhecem protocolos especiais, chamados de custom URL scheme handlers, que servem para abrir aplicativos ou executar funções diretamente.
Falha no WhatsApp para Windows permitia que um arquivo executável malicioso fosse aberto com um único clique da vítima.
O protocolo tel:, por exemplo, inicia uma chamada telefônica. O facetime: abre o FaceTime. O itms-apps: redireciona para a App Store. Aplicativos de bancos, redes sociais e outros serviços também registram seus próprios protocolos.
Ao acionar esses handlers sem o consentimento da vítima, um atacante poderia redirecionar o usuário para um site de phishing, abrir outros aplicativos no dispositivo ou acionar funcionalidades do sistema de forma silenciosa.
A Meta corrigiu a falha. Versões posteriores à v2.26.15.72 no iOS e à v2.26.7.10 no Android não são vulneráveis.
Meta publicou dois boletins de segurança descrevendo falhas corrigidas no WhatsApp para iOS, Android e Windows.
O que fazer agora
A recomendação é atualizar o WhatsApp em todos os dispositivos. No iOS, a versão segura é qualquer uma posterior à v2.26.15.72. No Android, qualquer versão posterior à v2.26.7.10. No Windows, a versão corrigida é a v2.3000.1032164386.258709 ou superior.
A Meta afirmou não ter encontrado evidências de exploração em ambiente real. Ainda assim, o WhatsApp tem mais de 2 bilhões de usuários ativos globalmente, o que torna qualquer falha não corrigida uma superfície de ataque relevante, especialmente para operações de spyware direcionadas ou grupos patrocinados por estados.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.