O WhatsApp, aplicativo de mensagens da Meta, identificou e corrigiu uma vulnerabilidade crítica nas versões para iOS e macOS, classificada como CVE-2025-55177. Essa falha grave permitia que hackers acessassem dispositivos das vítimas sem qualquer ação por parte delas, caracterizando um ataque do tipo “zero-clique”.
Essa brecha, possivelmente combinada com outra vulnerabilidade do sistema Apple (CVE-2025-43300), foi explorada em campanhas específicas de espionagem contra usuários selecionados. A vulnerabilidade foi descoberta pela equipe de segurança interna do WhatsApp e está relacionada a falhas na autorização de mensagens de sincronização entre dispositivos, o que poderia permitir o processamento de conteúdo malicioso enviado por terceiros.
Versões afetadas e correções disponíveis
-
WhatsApp para iOS: versões anteriores à 2.25.21.73 (corrigida em 28 de julho de 2025)
-
WhatsApp Business para iOS: versões anteriores à 2.25.21.78 (corrigida em 4 de agosto de 2025)
-
WhatsApp para Mac: versões anteriores à 2.25.21.78 (corrigida em 4 de agosto de 2025)
A Meta recomenda que todos os usuários atualizem seus aplicativos imediatamente para garantir proteção total contra essa vulnerabilidade, que pode facilitar ataques de malware e invasões.
Exploração em campanhas de espionagem avançada
Além da falha no WhatsApp, a CVE-2025-55177 pode ter sido usada junto à vulnerabilidade da Apple no sistema ImageIO, que permite a corrupção de memória por meio do processamento de imagens maliciosas. A Apple já alertou que essa falha tem sido utilizada em ataques sofisticados direcionados a indivíduos específicos.
Segundo Donncha Ó Cearbhaill, líder do Laboratório de Segurança da Anistia Internacional, o WhatsApp notificou menos de 200 pessoas afetadas pela campanha de spyware nos últimos 90 dias. Os usuários receberam alertas dentro do próprio aplicativo, recomendando a restauração completa de fábrica para eliminar qualquer traço do software espião.
A ameaça do ataque “zero-clique”
Ataques do tipo “zero-clique” não exigem que a vítima clique em links ou abra arquivos infectados. Eles exploram falhas no código para instalar malwares silenciosamente, representando uma das formas mais perigosas de invasão digital. Ó Cearbhaill destacou que a campanha afetou tanto usuários de iPhone quanto de Android, incluindo membros da sociedade civil, e alertou para o risco constante que o spyware governamental representa para jornalistas e defensores dos direitos humanos.
Até o momento, a identidade dos responsáveis pela invasão e o fornecedor do spyware permanecem desconhecidos. O WhatsApp confirmou que notificou diretamente os usuários vulneráveis para minimizar os danos.
