WhatsApp corrige falha que podia atacar celular com arquivos de vídeo

Facebook publicou um alerta informando que corrigiu uma brecha no WhatsApp que poderia ser usada para atacar usuários por meio de um arquivo de vídeo (MP4). Segundo a empresa, uma das possíveis consequências do ataque seria a execução de código, o que poderia permitir o roubo de mensagens e fotos do aparelho ou, em casos mais graves, até a instalação de outros aplicativos.

Não há qualquer informação que indique que esta falha foi utilizada em ataques reais. Mesmo assim, recomenda-se atualizar o WhatsApp nas plataformas com suporte para garantir mais segurança no uso do app.

De acordo com o alerta, estas são as versões mínimas do WhatsApp que incluem a correção para a falha:

  • WhatsApp para Android, versão 2.19.274;
  • WhatsApp Business para Android, versão 2.19.104
  • WhatsApp para iOS e WhatsApp Business para iOS, versão 2.19.100;
  • WhatsApp Enterprise Client, versão 2.25.3

O problema também está presente no WhatsApp para Windows Phone, mas esta versão aparentemente não receberá mais atualizações — a versão 2.18.368 é vulnerável. O aplicativo para o sistema de celulares da Microsoft já é considerado descontinuado e deixará de funcionar em 31 de dezembro de 2019.

Para explorar a brecha, um invasor precisaria criar um arquivo MP4 especial e manipular os metadados dos fluxos. “Fluxos” são os elementos que compõem um arquivo de vídeo, como as imagens, as faixas de áudio e a legenda. Os metadados explicitam as características desses fluxos para ajustar a reprodução do vídeo, além de informar o idioma das legendas e da faixa de áudio, por exemplo.

Como o processamento ocorre de maneira incorreta, o WhatsApp pode congelar ou permitir que o hacker assuma o controle do aplicativo.

Outras falhas no WhatsApp

Em outra atualização recente, o WhatsApp corrigiu uma falha na leitura de imagens em formato GIF. Diferente deste problema com MP4, no entanto, apenas a versão para Android era vulnerável.

Em maio, o WhatsApp foi atualizado para eliminar uma falha no recurso de chamadas do aplicativo depois que o problema foi explorado para instalar um software de espionagem nos celulares de algumas poucas pessoas. Essas invasões, que teriam contado com o envolvimento da NSO Group, de Israel, estão em debate em uma ação judicial movida pelo WhatsApp.