Na última terça-feira, a Meta anunciou o lançamento da ferramenta WhatsApp Research Proxy, disponibilizada a alguns pesquisadores experientes de seu programa de bug bounty.
O objetivo é facilitar o estudo do protocolo de rede do WhatsApp, aprimorando a segurança da plataforma de mensagens.
A iniciativa busca fortalecer a análise de tecnologias específicas do WhatsApp, que continua sendo um alvo valioso para ataques patrocinados por estados e fornecedores de spyware comercial.
Além disso, a empresa está conduzindo um projeto-piloto que convida equipes de pesquisa a focarem no abuso da plataforma, contando com suporte direto da engenharia interna e ferramentas especializadas.
“Queremos reduzir a barreira de entrada para acadêmicos e outros pesquisadores menos familiarizados com bug bounty, incentivando sua participação no programa”, afirmou a Meta.
O anúncio ocorre no contexto em que a Meta revelou ter pago mais de US$ 25 milhões em recompensas a mais de 1.400 pesquisadores de 88 países nos últimos 15 anos.
Só neste ano, cerca de US$ 4 milhões foram destinados a quase 800 relatórios válidos.
Ao todo, a empresa recebeu cerca de 13 mil submissões.
Entre as descobertas relevantes, destacam-se vulnerabilidades em versões do WhatsApp, como a falha de validação incompleta nas releases anteriores à 2.25.23.73 (incluindo WhatsApp Business para iOS 2.25.23.82 e WhatsApp para Mac 2.25.23.83).
Elas poderiam permitir que um usuário acionasse o processamento de conteúdo de uma URL arbitrária no dispositivo de outro usuário.
A Meta ressalta que não há evidências de exploração dessa falha em ambiente real.
Outro bug corrigido, registrado como
CVE-2025-59489
(CVSS 8,4), afetava dispositivos Quest, permitindo que apps maliciosos manipulassem aplicações Unity para executar código arbitrário.
O pesquisador RyotaK, da Flatt Security, foi reconhecido pela descoberta e pelo reporte da vulnerabilidade.
Em um caso recente, a Meta reforçou os mecanismos anti-scraping no WhatsApp após um estudo revelar um método para enumerar contas em escala global — abrangendo 245 países — e construir um banco de dados completo de usuários, burlando as limitações de taxa do serviço.
Com cerca de 3,5 bilhões de usuários ativos, o WhatsApp possui um recurso legítimo de descoberta de contatos que, no entanto, foi explorado para coletar informações públicas, como fotos de perfil, textos da seção “Sobre” e timestamps relativos a atualizações.
Segundo a Meta, não há indícios de que esse método tenha sido usado para fins maliciosos.
Contudo, a pesquisa identificou registros de milhões de números em países onde o WhatsApp é oficialmente proibido, incluindo 2,3 milhões na China e 1,6 milhão em Mianmar.
Gabriel Gegenhuber, da Universidade de Viena e principal autor do estudo, explicou que “normalmente, um sistema não deveria responder a um número tão elevado de requisições em tão pouco tempo, especialmente se originadas de uma única fonte.
Esse comportamento expôs uma falha fundamental, permitindo ao atacante realizar um volume praticamente ilimitado de requisições e mapear dados de usuários globalmente.”
No início deste ano, o mesmo grupo publicou outra pesquisa chamada Careless Whisper, que mostrou como delivery receipts podem comprometer a privacidade dos usuários.
Por meio do envio de mensagens especialmente criadas, um atacante pode disparar esses receipts sem o conhecimento do usuário e extrair seu status de atividade.
Os pesquisadores destacaram que, com essa técnica em alta frequência, “é possível seguir um usuário entre seus dispositivos, inferir sua rotina diária e atividades atuais”.
Além disso, é viável identificar o número de sessões ativas e seus sistemas operacionais, bem como realizar ataques que esgotam recursos, como bateria e pacote de dados, sem gerar qualquer notificação para a vítima.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...