ESET alerta para falha no WhatsApp que permitia ataque via imagem falsa

Uma simples imagem enviada pelo WhatsApp podia esconder uma armadilha digital. A ESET aponta uma falha crítica no aplicativo para Windows que permitia a execução de códigos maliciosos disfarçados em arquivos enviados por mensagem. A vulnerabilidade, já corrigida por meio de atualização, podia ser explorada por cibercriminosos sem o conhecimento da vítima.

A falha, identificada como CVE-2025-30401, foi descoberta por um pesquisador independente no programa de recompensas da Meta. Embora não haja indícios de exploração ativa, a empresa agiu rapidamente para fechar a brecha com uma atualização automática.

A correção foi disponibilizada pela própria Meta por meio de uma atualização silenciosa no aplicativo para Windows. Usuários que desejem garantir que estão protegidos devem verificar se possuem a versão 2.2450.6 ou superior instalada em seus dispositivos. Para isso, basta acessar Menu > Configurações > Ajuda dentro do WhatsApp.

“A vulnerabilidade podia ser explorada por cibercriminosos para enviar executáveis disfarçados de arquivos comuns, como imagens ou PDFs. O WhatsApp exibia o arquivo de acordo com o MIME type, mas escolhia o software padrão de abertura daquele arquivo baseado em sua extensão, isso poderia permitir que cibercriminosos disfarçassem facilmente arquivos maliciosos. Bastava que a vítima abrisse o arquivo para que um código malicioso fosse executado e abrisse espaço para infecções por spyware, infostealers e outras ameaças digitais”, comenta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.

O MIME type (Multipurpose Internet Mail Extensions) é um padrão usado por aplicações para identificar e interpretar corretamente o conteúdo de arquivos recebidos. Ao alterar esse identificador, criminosos conseguem enganar tanto o software quanto o usuário, aumentando a chance de que o conteúdo seja aberto sem suspeitas.

A ESET alerta que, sempre que se recebe uma mensagem de um contato desconhecido — especialmente se a mensagem afirma ser de um banco, órgão do governo ou provedor de serviços e exige uma ação urgente — é recomendável não responder nem clicar em links. Caso possível, o ideal é bloquear o remetente e entrar em contato com a instituição por canais oficiais para verificar a veracidade da mensagem. As políticas de bancos, serviços ao cidadão e de atendimento ao cliente não permitem que nenhum operador solicite senhas, códigos ou dados sensíveis.

“Esse tipo de mensagem inesperada, que pressiona o usuário a agir com urgência, é justamente a forma como campanhas de phishing são distribuídas e o que as torna difíceis de detectar a tempo. O objetivo final dos atacantes costuma ser o roubo de informações, disseminação de malwares ou propagação de algum tipo de golpe, como a venda de produtos inexistentes a preços absurdamente baixos, dentre muitos outros enganos possíveis. Os temas usados para essas abordagens são muito variados e os textos usados estão cada vez mais bem elaborados, induzindo muitas vítimas ao erro”, acrescenta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.

Casos como esse reforçam a importância de manter práticas básicas de cibersegurança no dia a dia. Segundo a ESET, é essencial manter sistemas operacionais, aplicativos e dispositivos sempre atualizados. As atualizações não apenas aprimoram funcionalidades, como também corrigem falhas que podem ser exploradas por cibercriminosos.

A ESET alerta, ainda, que é fundamental contar com uma solução de segurança confiável instalada nos dispositivos, sempre com as definições atualizadas. Além disso, é preciso redobrar a atenção ao receber arquivos pelo WhatsApp — especialmente quando enviados por contatos desconhecidos ou não verificados.