O WhatsApp é, indiscutivelmente, a plataforma de comunicação mais popular do mundo. No entanto, essa popularidade torna-o um alvo apetecível para agentes maliciosos. Agora, a equipa do Google Project Zero revelou publicamente uma vulnerabilidade grave na versão para Android da aplicação, após a Meta ter falhado o prazo de 90 dias para corrigir o problema na sua totalidade.
A falha, que coloca em risco milhões de utilizadores, permite a execução de código malicioso sem que a vítima precise sequer de tocar no telemóvel, explorando a forma como a aplicação gere os ficheiros multimédia.
O perigo dos downloads automáticos em grupos
A vulnerabilidade foi detalhada por Brendon Tiszka, investigador do Google Project Zero. O cenário de ataque é assustadoramente simples na teoria, embora exija alguma sofisticação técnica na execução.
Um atacante cria um grupo no WhatsApp e adiciona a vítima e um outro contacto conhecido da mesma. De seguida, o atacante promove esse contacto a administrador do grupo e envia um ficheiro multimédia malicioso. Devido às predefinições da aplicação, este conteúdo é descarregado automaticamente para o dispositivo da vítima, alojando-se na base de dados MediaStore.
Se o ficheiro for concebido para "escapar" deste ambiente, transforma-se num exploit capaz de comprometer o sistema sem qualquer interação por parte do utilizador. O grande trunfo deste ataque é ser "interactionless" — ou seja, o utilizador não precisa de clicar num link ou abrir um ficheiro manualmente para ser infetado.
No entanto, existem limitações. O atacante precisa de saber os números de telemóvel da vítima e de um contacto seu. Além disso, se o utilizador tiver a funcionalidade de "privacidade avançada do chat" ativa ou os downloads automáticos desligados, o ataque é neutralizado à partida.
A cronologia da falha e a resposta da Meta
O Google Project Zero reportou esta falha à Meta de forma privada a 1 de setembro de 2025, seguindo o protocolo padrão da indústria que concede 90 dias às empresas para resolverem problemas de segurança antes de estes serem tornados públicos.
Como a Meta não implementou uma correção completa até 30 de novembro de 2025, os detalhes foram revelados. A 4 de dezembro, Tiszka confirmou que, embora a Meta tenha lançado uma correção parcial do lado do servidor para tapar o buraco, uma solução definitiva e completa ainda está em desenvolvimento. Até ao momento, o ticket no tracker oficial do Project Zero permanece sem atualizações que indiquem o fecho do caso, sugerindo que a vulnerabilidade no Android continua tecnicamente ativa.
Para quem utiliza o sistema operativo da Google, a recomendação de segurança imediata é desativar o download automático de ficheiros. Podes fazer isso acedendo a Definições > Armazenamento e dados > Download automático de media e desligar as opções para dados móveis e Wi-Fi. Esta medida simples é, atualmente, a barreira mais eficaz contra este tipo de ataques silenciosos.
Nenhum comentário
Seja o primeiro!