Duas falhas, identificadas como CVE-2026-23863 e CVE-2026-23866, impactaram as versões do WhatsApp para Windows, iOS e Android. A Meta declarou que não há evidências da exploração ativa dessas vulnerabilidades.
A Meta emitiu boletins de segurança detalhando vulnerabilidades recentemente corrigidas no WhatsApp. Essas falhas poderiam ser exploradas de maneira a iludir os usuários, apresentando arquivos maliciosos disfarçados ou acionando funções do dispositivo sem o conhecimento da vítima.
Até o momento, não há registros de exploração ativa para essas falhas, que foram reportadas por especialistas através do programa de recompensas de bugs da Meta.
O arquivo disfarçado como um documento
A primeira vulnerabilidade, com a designação CVE-2026-23863, é específica para versões do WhatsApp para Windows anteriores à v2.3000.1032164386.258709. Essa falha, classificada como spoofing de anexo, permite que um arquivo malicioso se apresente como um tipo diferente de arquivo.
Para compreender a gravidade do problema, é essencial entender como os sistemas operacionais reconhecem arquivos. O Windows, por exemplo, utiliza a extensão do arquivo, como .pdf ou .docx, para determinar qual ação tomar ao abri-lo.
A vulnerabilidade permitia enganar esse mecanismo, usando um caractere invisível chamado byte NUL (\x00). Quando o WhatsApp analisava o nome do arquivo, encontrava esse caractere, interrompia a leitura e apresentava o arquivo como um documento comum. O Windows, em contrapartida, ignorava o byte NUL e continuava a leitura, revelando a extensão verdadeira do arquivo.
Assim, um atacante poderia enviar um arquivo que aparentava ser um PDF inofensivo no WhatsApp. Ao clicar para abrir, o Windows executaria um arquivo malicioso. Essa exploração demandava apenas um clique da vítima, sem necessidade de permissão adicional por parte do atacante.
Essa vulnerabilidade já foi resolvida. É recomendado que os usuários do WhatsApp para Windows atualizem para a versão v2.3000.1032164386.258709 ou mais recent.
A interação com Reels permitia acesso indesejado
A segunda vulnerabilidade, CVE-2026-23866, afeta as versões do WhatsApp para iOS (v2.25.8.0 a v2.26.15.72) e Android (v2.25.8.0 a v2.26.7.10). O problema surge da maneira como o aplicativo processa mensagens que incluem previews de vídeos do Instagram Reels.
Quando o WhatsApp exibe um Reel, ele busca o conteúdo a partir de uma URL. O aplicativo deveria realizar uma verificação para garantir a legitimidade dessa URL antes de processá-la, mas nas versões afetadas, essa checagem era insuficiente.
Isso permitia que um atacante criasse uma mensagem formatada de tal modo que, ao interagir com ela, o dispositivo da vítima buscasse conteúdo em uma URL sob controle do criminoso, sem qualquer ação adicional por parte do usuário.
O aspecto mais crítico da falha reside no que o sistema operacional faz com determinadas URLs. Dispositivos móveis reconhecem protocolos especiais, conhecidos como handlers de esquema de URL personalizados, que servem para abrir aplicativos ou efetuar funções diretamente.
Ao ativar esses handlers sem o consentimento do usuário, um atacante poderia redirecionar o usuário para um site de phishing, abrir outros aplicativos ou acionar funcionalidades do sistema de maneira silenciosa.
A Meta solucionou essas falhas, e versões posteriores a v2.26.15.72 no iOS e a v2.26.7.10 no Android não são vulneráveis.
Próximos passos
A recomendação é atualizar o WhatsApp em todas as plataformas. Para o iOS, a versão segura é a partir de v2.26.15.72. No Android, a versão deve ser superior a v2.26.7.10. Para Windows, a versão corrigida é v2.3000.1032164386.258709 ou mais recente.
A Meta afirmou que não encontrou evidências de exploração em cenários reais. Contudo, dado que o WhatsApp conta com mais de 2 bilhões de usuários ativos em todo o mundo, qualquer falha não corrigida representa uma superfície de ataque significativa, especialmente em operações de espionagem direcionadas ou por grupos com apoio estatal.
Acompanhe as novidades na TecMania em nossas redes sociais. Para mais informações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.