O mensageiro WhatsApp tem uma possível vulnerabilidade envolvendo a versão para Windows do aplicativo. O problema estaria ao permitir o envio de anexos em certas extensões sem contestação, sendo que elas podem ser facilmente exploradas para mandar arquivos mal intencionados para possíveis vítimas.
Usuários podem enviar uns para os outros arquivos em formatos de apps ou scripts em Python e PHP. O destinatário pode clicar no anexo para abrir diretamente o conteúdo ou salvá-lo na máquina — e ambas as ações já podem ser o suficiente para abrir as portas para uma infecção.
Quem descobriu o risco foi o especialista em cibersegurança Saumyajeet Das. O site Bleeping Computer testou a brecha e conseguiu fazer o envio de arquivos que podem ser usados para carregar malwares.
O cliente do WhatsApp para Windows permite o envio sem problemas de arquivos em PYZ, PYZW e EVTX. No caso de outras extensões possivelmente danosas, como a EXE, o mensageiro tende a bloquear o envio ou a execução.
Usuários mal intencionados, como cibercriminosos, podem enviar massivamente arquivos contendo malwares em chats públicos, como grupos, ou privados, como conversas com outras pessoas. Segundo o pesquisador, bastava para a companhia inserir as extensões em uma lista de proibição já existente para sanar qualquer possibilidade de risco.
O que diz a Meta
De acordo com Saumyajeet, ele notificou a Meta sobre os perigos dessa permissão no começo de junho deste ano. Duas semanas depois, porém, a companhia confirmou que o problema “foi reportado antes por outro pesquisador” e não voltou a entrar em contato.
Em nota enviada ao Bleeping Computer, a companhia confirmou que sabe do caso, mas não vê isso como um problema e não planeja consertá-lo.
“Malwares podem ter diferentes formas, incluindo arquivos baixáveis que querem enganar o usuários. É por isso que alertamos usuários a nunca clicar em um arquivo de alguém que ele não conhece, independente de como recebeu ele — seja pelo WhatsApp ou outro aplicativo”, diz a nota.
Até o momento, o envio de anexos nessas extensões ainda está presente na versão 2.2428.10.0 do cliente do WhatsApp para Windows. No rival Telegram, que já teve a mesma vulnerabilidade denunciada meses atrás, a brecha foi resolvida pela desenvolvedora.