Falha no WhatsApp permite invasão por meio de imagens falsas

29/04/2025 mindsecblog Notícias 0

Falha no WhatsApp permite invasão por meio de imagens falsas, alerta ESET

Atualização recente corrige brecha grave que poderia ser usada por criminosos para instalar malware no computador da vítima sem que ela percebesse

Uma simples imagem enviada pelo WhatsApp podia esconder uma armadilha digital. A ESET, empresa líder em detecção proativa de ameaças, aponta uma falha crítica no aplicativo para Windows que permitia a execução de códigos maliciosos disfarçados em arquivos enviados por mensagem. A vulnerabilidade, já corrigida por meio de atualização, podia ser explorada por cibercriminosos sem o conhecimento da vítima.

A falha, identificada como CVE-2025-30401, foi descoberta por um pesquisador independente no programa de recompensas da Meta. Embora não haja indícios de exploração ativa, a empresa agiu rapidamente para fechar a brecha com uma atualização automática.

A correção foi disponibilizada pela própria Meta por meio de uma atualização silenciosa no aplicativo para Windows. Usuários que desejem garantir que estão protegidos devem verificar se possuem a versão 2.2450.6 ou superior instalada em seus dispositivos. Para isso, basta acessar Menu > Configurações > Ajuda dentro do WhatsApp.

“A vulnerabilidade podia ser explorada por cibercriminosos para enviar executáveis disfarçados de arquivos comuns, como imagens ou PDFs. O WhatsApp exibia o arquivo de acordo com o MIME type, mas escolhia o software padrão de abertura daquele arquivo baseado em sua extensão, isso poderia permitir que cibercriminosos disfarçassem facilmente arquivos maliciosos. Bastava que a abrisse o arquivo para que um código malicioso fosse executado e abrisse espaço para infecções por spyware, infostealers e outras ameaças digitais”, comenta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.

O MIME type (Multipurpose Internet Mail Extensions) é um padrão usado por aplicações para identificar e interpretar corretamente o conteúdo de arquivos recebidos. Ao alterar esse identificador, criminosos conseguem enganar tanto o software quanto o usuário, aumentando a chance de que o conteúdo seja aberto sem suspeitas.

A ESET alerta que, sempre que se recebe uma mensagem de um contato desconhecido — especialmente se a mensagem afirma ser de um banco, órgão do governo ou provedor de serviços e exige uma ação urgente — é recomendável não responder nem clicar em links. Caso possível, bloqueie o remetente e entre em contato com a instituição por canais oficiais para verificar a veracidade da mensagem. As políticas de bancos, serviços ao cidadão e de atendimento ao cliente não permitem que nenhum operador solicite senhas, códigos ou dados sensíveis.

“Esse tipo de mensagem inesperada, que pressiona o usuário a agir com urgência, é justamente a forma como campanhas de phishing são distribuídas e o que as torna difíceis de detectar a tempo. O objetivo final dos atacantes costuma ser o roubo de informações, disseminação de malwares ou propagação de algum tipo de golpe, como a venda de produtos inexistentes a preços absurdamente baixos, dentre muitos outros enganos possíveis. Os temas usados para essas abordagens são muito variados e os textos usados estão cada vez mais bem elaborados, induzindo muitas vítimas ao erro”, acrescenta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.

Casos como esse reforçam a importância de manter práticas básicas de cibersegurança no dia a dia. Segundo a ESET, é essencial manter sistemas operacionais, aplicativos e dispositivos sempre atualizados. As atualizações não apenas aprimoram funcionalidades, como também corrigem falhas que podem ser exploradas por cibercriminosos.

Também é fundamental contar com uma solução de segurança confiável instalada nos dispositivos, sempre com as definições atualizadas. Além disso, é preciso redobrar a atenção ao receber arquivos pelo WhatsApp — especialmente quando enviados por contatos desconhecidos ou não verificados.

A empresa ainda alerta para os golpes que vão além das falhas técnicas, como os ataques de phishing. Mensagens com tom de urgência vindas de supostos bancos, repartições públicas ou empresas devem ser vistas com desconfiança. O ideal é não interagir, bloquear o remetente e, se necessário, confirmar diretamente com a instituição.

Fonte: ESET