O WhatsApp corrigiu duas vulnerabilidades nos aplicativos para Android e iOS que, se exploradas, possibilitavam que alguém executasse códigos remotamente em celulares afetados.
O QUE HOUVE? A primeira das falhas, identificada pelo código CVE-2022-36934, era explorada quando o atacante estabelecia uma videochamada com a vítima.
Essa falha atingia os aplicativos WhatsApp e WhatsApp Business, nas duas plataformas, anteriores à versão 2.22.16.12.
A outra, código CVE-2022-27492, acontecia quando a vítima recebia um arquivo de vídeo especialmente criado para travar o WhatsApp e permitir a execução remota de códigos.
Versões do WhatsApp anteriores à 2.22.16.2 (Android) e 2.22.15.9 (iOS) estavam vulneráveis.
A Meta não deu mais detalhes das falhas de segurança.
CONTEXTO. Devido à popularidade do WhatsApp, o mercado de falhas e vulnerabilidades do aplicativo cresceu nos últimos anos.
O caso mais emblemático foi o do spyware Pegasus, da empresa israelense NSO Group, que usou uma falha no recurso de ligações por áudio do WhatsApp para infetar e espionar celulares de políticos, jornalistas e ativistas de vários países, em 2019.
Via WhatsApp, The Hacker News (ambos em inglês).
