Uma falha de segurança na versão mais recente do WhatsApp para Windows permite o envio de anexos em Python e PHP que são executados sem qualquer aviso quando o destinatário os abre. Para que o ataque seja bem-sucedido, é necessário que o Python esteja instalado no sistema, o que pode limitar os alvos a desenvolvedores de software, pesquisadores e usuários avançados. O problema é semelhante ao que afetou o Telegram para Windows em abril, onde inicialmente os ataques poderiam contornar os avisos de segurança e realizar execução remota de código ao enviar um arquivo Python pelo cliente de mensagens.
Embora o Telegram tenha corrigido a vulnerabilidade após a descoberta, o WhatsApp não planeja adicionar scripts Python à lista de tipos de arquivos bloqueados. Testes adicionais realizados pelo BleepingComputer mostram que arquivos PHP (.php) também não estão incluídos na lista de bloqueio do WhatsApp. O pesquisador de segurança Saumyajeet encontrou a vulnerabilidade ao experimentar diferentes tipos de arquivos que poderiam ser anexados às conversas do WhatsApp para verificar se a aplicação permitia alguns dos tipos arriscados.
Ao enviar um arquivo potencialmente perigoso, como .EXE, o WhatsApp exibe uma mensagem de aviso e dá ao destinatário duas opções: Abrir ou Salvar Como. No entanto, ao tentar abrir o arquivo, o WhatsApp para Windows gera um erro, deixando aos usuários apenas a opção de salvar o arquivo no disco e lançá-lo a partir daí. O problema foi reportado para a Meta em 3 de junho, e a empresa respondeu em 15 de julho dizendo que a questão já havia sido reportada e corrigida anteriormente.