O WhatsApp para desktop é utilizado por milhões de pessoas tanto para conversas pessoais quanto comerciais, mas uma falha de segurança no aplicativo permite que vírus e malwares sejam distribuídos por ele. Uma brecha de segurança que se torna ainda mais perigosa com uma vulnerabilidade recentemente descoberta no Windows Defender.

A falha de segurança foi descoberta pelo pesquisador Saumyajeet Das e confirmada pelo portal Bleeping Computer. Ela utiliza uma brecha de segurança no WhatsApp para desktop no Windows que permite a execução automática de arquivos nos formatos .PYZ (Python ZIP app), .PYZW (programa PyInstaller), e .EVTX (arquivo de log do Windows).

Como mostrado no vídeo acima, estes arquivos podem conter scripts, instruções automáticas, para a instalação de malwares, spywares e outros vírus no computador.

Se o usuário clicar em "abrir" eles são executados automaticamente como se fossem um arquivo de imagem ou vídeo, o que não acontece com outros arquivos que podem ser perigosos nos formatos .EXE, .COM, SCR, .BAT, Perl, .DLL, .HTA e .EBF.

Saumyajeet Das notificou a Meta, dona do WhatsApp, sobre a falha de segurança em 3 de junho e recebeu uma resposta em 15 de julho onde a empresa diz que outro pesquisador já havia relatado vulnerabilidade.

Além disso, a Meta diz que a vulnerabilidade não é crítica e não planeja bloquear o scripts de Python no WhatsApp para desktop:

Lemos o que o pesquisador propôs e agradecemos sua apresentação. O malware pode assumir muitas formas diferentes, inclusive por meio de arquivos para download destinados a enganar um usuário.

É por isso que alertamos os usuários para nunca clicar ou abrir um arquivo de alguém que não conhecem, independentemente de como o receberam - seja pelo WhatsApp ou qualquer outro aplicativo.

A Meta também lembrou que o WhatsApp mostra avisos quando uma pessoa que não está na sua lista de contatos envia uma mensagem para você. Entretanto, este aviso se torna inútil se um dos seus contatos enviar um vírus com script em Python, pois a ideia dos criminosos é usá-lo para sequestrar contas e enviar os arquivos maliciosos para os contatos dessa pessoa.

Das afirma que ficou decepcionado com a posição da Meta, pois ela somente precisaria bloquear a execução direta de arquivos .pyz e pyzw para solucionar a vulnerabilidade.

Desta forma, a recomendação é sempre verificar a extensão dos arquivos recebidos antes de abrí-los, pois anexos com o nome terminando em .PYZ, .PYZW e .EVTX podem conter códigos maliciosos, mesmo se forem enviados pelos seus amigos.