WhatsApp Corrige Bug de Spyware ‘Zero-Click’ em Dispositivos Apple

WhatsApp corrigiu uma falha crítica de segurança em seus aplicativos para iOS e Mac que hackers estavam explorando em uma campanha de spyware furtiva, sem que os usuários precisassem clicar em um link ou abrir um arquivo.

A plataforma de mensagens, de propriedade da Meta, disse que a vulnerabilidade — rastreada como CVE-2025-55177 — estava emparelhada com outra vulnerabilidade (CVE-2025-43300) no software da Apple que a empresa corrigiu na semana passada. Juntas, elas criaram o que os especialistas em segurança chamam de um exploit “zero-click” — um hack que permitiu que hackers invadissem iPhones e Macs sem qualquer ação necessária do usuário.

“Autorização incompleta de mensagens de sincronização de dispositivos vinculados no WhatsApp [..] poderia ter permitido que um usuário não relacionado acionasse o processamento de conteúdo de uma URL arbitrária no dispositivo de um alvo,” escreveu o WhatsApp em um aviso de segurança na sexta-feira.

“Consideramos que essa vulnerabilidade, em combinação com uma vulnerabilidade em nível de sistema operacional nas plataformas da Apple (CVE-2025-43300), pode ter sido explorada em um ataque sofisticado contra usuários específicos.”

Essa falha zero-click afetou o WhatsApp para iOS antes da versão 2.25.21.73, WhatsApp Business para iOS v2.25.21.78, e WhatsApp para Mac v2.25.21.78.

No início deste mês, a Apple lançou atualizações de emergência para corrigir a falha zero-day CVE-2025-43300, observando que já havia sido explorada em um “ataque extremamente sofisticado.”

Embora as duas empresas tenham que identificar publicamente quem estava por trás dos ataques, Donncha Ó Cearbhaill (o chefe do Laboratório de Segurança da Anistia Internacional) disse que o WhatsApp alertou recentemente alguns usuários que foram atingidos por uma “campanha de spyware avançada” que durou cerca de 90 dias. Essa campanha afetou menos de 200 pessoas em todo o mundo, incluindo membros da sociedade civil.

Tabela de Conteúdos

• Resposta do WhatsApp
• O Que Você Deve Fazer?

Resposta do WhatsApp

“Fizemos alterações para evitar que esse ataque específico ocorra através do WhatsApp. No entanto, o sistema operacional do seu dispositivo pode continuar comprometido pelo malware ou ser alvo de outras maneiras,” diz os alertas do WhatsApp.

Donncha Ó Cearbhaill descreveu que a campanha foi projetada para invadir iPhones e Macs remotamente, sem sinais de aviso recebidos pelas vítimas de que seus dispositivos estavam comprometidos, enquanto dava aos atacantes acesso a mensagens privadas e dados sensíveis.

“Também é importante: a vulnerabilidade da Apple estava em uma biblioteca de imagens central, podendo ser alvo através de outros aplicativos além do WhatsApp,” acrescentou Donncha Ó Cearbhaill.

Esta não é a primeira vez que o WhatsApp foi usado como um canal de entrega para spyware de nível governamental. Em 2019, a empresa processou o fornecedor de spyware israelense NSO Group após seu malware Pegasus infiltrar mais de 1.400 dispositivos, incluindo jornalistas e ativistas. Mais recentemente, o WhatsApp disse que interrompeu outra campanha direcionada a grupos da sociedade civil na Itália.

Especialistas em segurança alertam que esses ataques mostram o crescente poder da indústria de vigilância. Ao explorar vulnerabilidades anteriormente desconhecidas, os atacantes podem infiltrar até mesmo os dispositivos mais atualizados. Ao contrário das tentativas de phishing, os exploits zero-click não dependem de ações do usuário, o que os torna quase impossíveis de prevenir e defender.

O Que Você Deve Fazer?

Para usuários comuns do WhatsApp, o risco é extremamente baixo. No entanto, é fundamental atualizar seus aplicativos e sistema operacional o mais rápido possível.

Para jornalistas, ativistas e outros em campos sensíveis, os especialistas em segurança também recomendam ativar o Modo de Bloqueio da Apple ou o Modo de Proteção Avançada do Android para uma camada extra de defesa. Como os criadores de spyware estão constantemente em busca de fraquezas, manter os dispositivos atualizados e corrigidos é a melhor linha de defesa assim que as correções estiverem disponíveis.