Instagram Reels putea fi folosit pentru atacuri prin WhatsApp

Meta a confirmat o vulnerabilitate care afecta versiunile WhatsApp pentru Android și iPhone și putea permite procesarea unor URL-uri arbitrare

Instagram Reels putea fi folosit pentru atacuri prin WhatsApp, prin exploatarea unei vulnerabilități confirmate de Meta. Problema afecta integrarea dintre WhatsApp și Instagram Reels și putea permite deschiderea unor URL-uri suspecte fără acordul explicit al utilizatorului.

Vulnerabilitatea afecta Android și iPhone

Problema, identificată drept CVE-2026-23866, a fost clasificată cu severitate medie și era cauzată de validarea incompletă a unor mesaje asociate funcției Instagram Reels.

Vulnerabilitatea afecta WhatsApp pentru iOS în versiunile v2.25.8.0 – v2.26.15.72 și WhatsApp pentru Android în versiunile v2.25.8.0 – v2.26.7.10.

Potrivit Meta, vulnerabilitatea a fost descoperită prin programul Meta Bug Bounty și confirmată ulterior de echipa de securitate a companiei.

Cum funcționa atacul

Atacatorii puteau crea mesaje special formulate care determinau dispozitivul victimei să proceseze conținut media provenit din URL-uri aflate sub controlul acestora.

Problema exploata modul în care WhatsApp procesa mesajele cu răspunsuri bogate generate pentru Instagram Reels. Aplicația nu valida suficient sursa URL-urilor incluse în conținutul media.

Vulnerabilitatea putea permite apelarea unor scheme URL la nivelul sistemului de operare fără consimțământ explicit din partea utilizatorului.

Meta: nu există dovezi privind exploatarea activă

Meta a precizat că nu există dovezi privind exploatarea activă a vulnerabilității la momentul publicării informațiilor.

Compania recomandă actualizarea aplicației WhatsApp pentru iOS la o versiune mai nouă decât v2.26.15.72 și pentru Android la o versiune mai nouă decât v2.26.7.10.