Como travar o WhatsApp enviando cerca de 4000 emojis

O que aconteceu

Um pesquisador independente, Indrajeet Bhuyan, relatou ao site The Hacker News um bug no WhatsApp que permite causar falha no aplicativo do destinatário simplesmente enviando uma mensagem com quase 4.000 emojis. Não é necessária nenhum payload especial além de uma grande quantidade de emojis.

Segundo o relato, o WhatsApp aceita inserir muitos emojis no campo de texto. Quando a mensagem é recebida e processada pelo cliente do destinatário, ocorre um estouro do buffer que leva ao travamento do app. O mesmo pesquisador já havia reportado, no ano anterior, um bug semelhante que travava o app com uma mensagem de aproximadamente 2 KB em caracteres especiais.

Plataformas testadas e alcance

• Testes documentados foram realizados em dispositivos Android (incluindo versões como Marshmallow, Lollipop e KitKat).
• WhatsApp Web também foi testado e apresentou falhas em navegadores como Chrome, Opera e Firefox.
• Não há confirmação pública segura de que iOS seja afetado — o relatório original se concentrou em Android e navegadores.

Importante: não se sabe o alcance exato em números; mensagens indicam que o problema pode afetar uma grande base de usuários enquanto não houver correção oficial.

Como funciona, em termos simples

• Entrada sem limite: o campo de texto permite inserir muitos emojis.
• Processamento: ao receber uma mensagem gigantesca de emojis, o cliente tenta renderizá-la e excede um limite interno (buffer ou memória), levando à falha.

1-liner técnico: estouro de buffer é quando o software aloca menos espaço do que o necessário para os dados e acaba corrompendo memória ou causando exceção.

Demonstração (PoC)

Há um vídeo de prova de conceito que mostra o comportamento. Veja em:

https://youtu.be/hEMD5y3WGt4

Medidas imediatas para usuários

• Se receber uma mensagem suspeita com muitos emojis, NÃO abra-a diretamente. Abra o WhatsApp, toque e segure na conversa na lista de chats e delete a conversa inteira.
• Faça backup das conversas importantes antes de qualquer ação de remoção, se possível.
• Bloqueie o remetente e reporte a mensagem através das opções do WhatsApp.
• Evite usar WhatsApp Web em máquinas públicas até que haja confirmação de correção.

Observação: excluir a conversa remove a mensagem mas também apaga o histórico com aquele contato — avalie backups.

Checklist rápido por função

• Usuário final: delete a conversa, bloqueie o remetente, restaure de backup se necessário.
• Administrador de TI (empresa): aplique políticas de comunicação, instrua funcionários a não abrir mensagens suspeitas e monitore tíquetes de suporte.
• Pesquisador/Desenvolvedor: reproduza o teste em contas isoladas e notifique o fornecedor via canal oficial.

Playbook para incidente (passos práticos)

1. Identificar: usuário relata travamento após receber mensagem.
2. Isolar: peça para não abrir a conversa e delete o chat pelo painel principal.
3. Recuperar: restaurar de backup local/na nuvem se dados forem perdidos.
4. Mitigar: bloquear remetente e alterar regras de grupo/contatos.
5. Notificar: enviar relatório ao suporte do WhatsApp/Meta com detalhes e PoC (apenas em ambiente controlado).

Quando essa técnica pode falhar

• Se o cliente do destinatário aplicar limites ao processamento de emojis antes do parsing, o desastre pode não ocorrer.
• Se mensagens forem filtradas por servidores ou por clientes que truncam o conteúdo nas notificações, o efeito pode ser reduzido.
• Se o usuário manter backups regulares, a perda de histórico é menos dolorosa.

Alternativas e heurísticas para defensores

• Heurística: trate mensagens com volumes anormais de caracteres/emoji como potencialmente maliciosas.
• Alternativa técnica: provedores podem aplicar sanitização e limites no servidor (por exemplo, truncar mensagens acima de X bytes) em vez de confiar apenas no cliente.
• Procedimento humano: campanhas de conscientização para usuários sobre evitar abrir mensagens suspeitas.

Glossário (1 linha cada)

• Buffer overflow: condição em que dados excedem a memória prevista, causando falha.
• PoC: prova de conceito que demonstra um problema sem explorar em massa.
• Emoji: glifo gráfico usado em mensagens instantâneas.

Riscos e privacidade

• Perda de histórico: deletar conversa para recuperar estabilidade apaga mensagens locais e anexos não salvos.
• Abuso social: o método pode ser usado para assédio digital ou negação de serviço a nível de usuário.

Nota de segurança: não compartilhe massivamente PoCs em ambientes públicos; use contas isoladas e linhas de comunicação responsáveis.

Como os desenvolvedores devem agir

• Implementar limites de tamanho e complexidade no cliente e no servidor.
• Validar entradas e aplicar defesa em profundidade (limites no front-end, validação no back-end, tratamento seguro de renderização de emoji).
• Testar regressões com casos limítrofes: mensagens muito longas, combinações de ZWJ (zero-width joiner) e variantes regionais de emoji.

O que esperar da empresa responsável

Reports como este geralmente são encaminhados ao time de segurança do produto. A correção pode vir por atualização do app (Android/iOS) e do lado do servidor/web. Enquanto não houver patch, usuários ficam expostos a tentativas de travamento por mensagens.

Perguntas frequentes

Como me proteger agora? Apague a conversa sem abrir a mensagem, bloqueie o remetente, restaure de backup se perder dados. Faça backups regulares.

Devo informar o suporte do WhatsApp? Sim. Envie detalhes e, se for pesquisador, use canais de divulgação coordenada.

Resumo final

Um bug relatado permite travar clientes WhatsApp enviando uma grande quantidade de emojis. As ações imediatas são: não abrir a mensagem, deletar a conversa, bloquear o remetente e aguardar atualização oficial. Para equipes técnicas, aplicar limites e validação é a defesa mais eficaz.

Importante: não use esse método para causar dano; explorar falhas sem autorização pode ser ilegal e antiético.