Pesquisadores do Google Project Zero descobriram uma vulnerabilidade crítica no WhatsApp. Na versão Android do sistema de mensagens, uma vulnerabilidade pode permitir que um hacker force o download de mídia capturada no smartphone da vítima. Como a Meta não conseguiu implantar uma atualização para corrigir totalmente a falha, os pesquisadores tomaram a decisão de divulgar publicamente suas descobertas.
Pesquisadores do Project Zero, equipe de elite do Google que rastreia vulnerabilidades de dia zero, descobriram uma falha de segurança no funcionamento do WhatsApp. A violação está localizada em a versão Android do WhatsApp. Conforme explica o pesquisador Brendon Tiszka, a falha permite forçar o download de um arquivo malicioso no smartphone do usuário.
Para explorar a vulnerabilidade, o invasor deve primeiro crie um grupo no WhatsApp. Neste grupo, ele adicionará sua vítima com seu número de telefone e um de seus contatos. O invasor promoverá esse contato a administrador do grupo. A manobra deverá permitir acabar com a desconfiança do alvo. O hacker deve saber o número da vítima e de pelo menos um de seus contatos. Para obter essas informações, o cibercriminoso simplesmente precisa vasculhar os inúmeros bancos de dados comprometidos que abundam na dark web.
O invasor envia um arquivo de mídia malicioso especialmente projetado para explorar a falha. Se a vítima abandonou o downloads automáticos ativado, o arquivo é baixado imediatamente para o dispositivo, sem clicar ou abrir. Esta é uma configuração padrão relativamente comum.
Essa mídia é então armazenada no banco de dados MediaStore do Android, o repositório central no qual o sistema lista fotos, vídeos e outras mídias. A vítima não precisa interagir com o arquivo. Basta adicionar a pessoa que criou o documento como contato ou abrir o grupo uma vez. Todas as mensagens futuras nesse grupo serão automaticamente carregadas no MediaStore.
O Project Zero explica que se a mídia for bem projetada, ela poderá sair do MediaStore para executar código ou realizar outras ações maliciosas no smartphone. Em particular, pode orquestrar o roubo de dados.
Leia também: “Ei, acabei de encontrar sua foto! » – fuja dessa mensagem do WhatsApp, ela ameaça hackear sua conta
Quando o Google pressiona o Meta
Os especialistas optaram por divulgar a vulnerabilidade porque o Meta não conseguiu corrigi-la totalmente. o prazo de 90 dias que lhe foi concedido. De acordo com as práticas do mundo da segurança cibernética, o Projeto Zero deu à Meta a oportunidade de corrigir a situação antes de revelar publicamente a vulnerabilidade. Na verdade, a equipe avisou Meta em 1º de setembro de 2025 com total discrição.
A falha foi divulgada publicamente pelo Project Zero alguns meses depois. A operação visa pressionar o Meta para corrigir a vulnerabilidade o mais rápido possível, ao mesmo tempo que corre o risco de que os cibercriminosos explorem a descoberta dos pesquisadores. Observe que o grupo de Mark Zuckerberg, mesmo assim, não ficou parado. Dois meses depois de saber da vulnerabilidade, o Meta implantou uma correção parcial do lado do servidor. Uma correção completa, que feche completamente a falha, ainda não foi proposta pela editora, para grande consternação dos pesquisadores do Google.
Leia também: por que você definitivamente não deveria abrir este misterioso arquivo ZIP no WhatsApp
Cuidado com downloads automáticos
Para se proteger, recomendamos que você desabilitar downloads automáticos no WhatsApp. Para fazer isso, abra o WhatsApp, toque nos três pequenos pontos no canto superior direito e depois Configuraçõese vá para o menu Armazenamento e dados. Na seção Download automático de mídiaescolha Nunca para todas as categorias (imagens, áudio, vídeos, documentos).
Por fim, convidamos você a tomar medidas para proteger grupos no WhatsApp, especialmente grupos grandes e com muitos contatos. Sobre esses grupos, tome medidas restritivas. Abra o bate-papo em grupo e toque no nome do grupo na parte superior da tela. Uma vez nas informações do grupo, vá para Privacidade avançada de bate-papo. Verifique a opção. A partir de agora, os membros do grupo não poderão mais salvar mídia automaticamente na galeria de seus telefones. Você está, portanto, protegido, assim como os outros membros.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.