A ESET, empresa global de cibersegurança, emitiu um alerta sobre uma falha crítica no WhatsApp para Windows que permitia a execução de códigos maliciosos por meio de arquivos aparentemente inofensivos, como imagens e PDFs. Identificada como CVE-2025-30401, a vulnerabilidade foi descoberta por um pesquisador independente e rapidamente corrigida por meio de uma atualização automática disponibilizada pela Meta.
Segundo a ESET, o problema estava relacionado à forma como o aplicativo interpretava o conteúdo dos arquivos recebidos, abrindo espaço para ataques disfarçados de imagens. A brecha foi considerada grave, já que poderia ser explorada por criminosos sem que o usuário percebesse.
Como funcionava a falha
A execução maliciosa ocorria porque o WhatsApp exibia os arquivos com base no MIME type, mas utilizava a extensão do arquivo para definir qual programa seria usado para abri-lo. Isso permitia que um executável malicioso fosse mascarado como imagem, sendo executado assim que a vítima clicasse no arquivo.
“Bastava abrir o arquivo para que um código malicioso fosse executado, abrindo espaço para infecções por spyware, infostealers e outros tipos de ameaças digitais”, explica Daniel Barbosa, pesquisador de segurança da ESET no Brasil.
Atualize agora: como saber se você está protegido
A Meta já corrigiu a falha com uma atualização silenciosa. Para se proteger, o usuário deve verificar se está utilizando a versão 2.2450.6 ou superior do WhatsApp para Windows. O caminho é simples: Menu > Configurações > Ajuda.
Riscos vão além da falha técnica
Além da vulnerabilidade técnica, a ESET alerta para os riscos recorrentes de golpes por phishing, que utilizam mensagens falsas com tom de urgência. Essas abordagens se aproveitam da ansiedade do usuário para induzi-lo ao erro e facilitar a infecção de dispositivos ou o roubo de dados sensíveis.
“Campanhas maliciosas estão cada vez mais convincentes. Por isso, mensagens inesperadas que pedem ações imediatas devem sempre ser vistas com desconfiança, especialmente se envolvem bancos, órgãos públicos ou grandes empresas”, reforça Barbosa.
Boas práticas de segurança digital
Casos como esse reforçam a importância de seguir medidas básicas de cibersegurança no dia a dia, como:
- Manter o sistema e os aplicativos sempre atualizados;
- Utilizar soluções de segurança confiáveis e atualizadas;
- Evitar abrir arquivos recebidos de contatos desconhecidos;
- Desconfiar de mensagens urgentes e nunca fornecer senhas ou códigos de verificação.
