Uma vulnerabilidade de segurança crítica foi resolvida no WhatsApp, expondo um ataque “zero-click” sofisticado que afetava usuários de dispositivos Apple. Esta falha permitia que softwares espiões acessassem iPhones e Macs sem qualquer interação da vítima, evidenciando a constante ameaça de spyware avançado no ambiente digital.
– Publicidade –
A vulnerabilidade Zero-Click do WhatsApp e Apple
Na última sexta-feira, o WhatsApp anunciou a correção de uma falha de segurança em seus aplicativos para iOS e Mac. Esta vulnerabilidade estava sendo explorada para hackear dispositivos Apple de “usuários alvos específicos”. A Meta, empresa proprietária do aplicativo de mensagens, confirmou em seu comunicado de segurança que a falha foi resolvida, sendo oficialmente identificada como CVE-2025-55177.
Leia também: Função da Samsung desde 2019 pode finalmente chegar ao iPhone 17 Pro
Leia também: Bateria do Galaxy S26 Edge terá maior capacidade, mesmo com tecnologia de Íon-Lítio
Este bug do WhatsApp foi explorado juntamente com outra vulnerabilidade identificada nos sistemas iOS e macOS da Apple, rastreada como CVE-2025-43300. A Apple já havia corrigido esta falha em 20 de agosto de 2025, ao lançar o iOS 18.6.2 e macOS Sequoia 15.6.1. A falha da Apple estava relacionada ao framework ImageIO, que poderia causar corrupção de memória ao processar imagens maliciosas.
Como atuava o ataque de Spyware Zero-Click
A Apple descreveu o incidente como um “ataque extremamente sofisticado contra indivíduos alvos específicos”. Ficou claro que dezenas de usuários do WhatsApp foram atingidos por essa combinação de falhas. Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional, classificou o ataque em uma publicação no X como uma “campanha avançada de spyware”, que afetou usuários nos últimos 90 dias, desde o final de maio.
Ó Cearbhaill explicou que os dois bugs formaram um ataque “zero-click”, significando que a vítima não precisava de interagir com o dispositivo, como clicando em um link, para que seja comprometido. Juntas, as falhas permitiram que um invasor enviasse um exploit malicioso via WhatsApp, capaz de roubar dados do dispositivo Apple do usuário.
Segundo Ó Cearbhaill, que publicou uma cópia da notificação de ameaça enviada pelo WhatsApp aos usuários afetados, o ataque tinha potencial para “comprometer seu dispositivo e os dados armazenados, incluindo mensagens”. A vulnerabilidade no WhatsApp estava ligada a uma autorização incompleta de mensagens de sincronização em dispositivos vinculados. Versões anteriores à v2.25.21.73 para iOS, v2.25.21.78 para WhatsApp Business iOS e v2.25.21.78 para Mac foram impactadas.
Alvos e Impacto: Quem foi afetado por esta vulnerabilidade?
Não está claro, de imediato, quem ou qual fornecedor de spyware está por trás dos ataques. Ao ser contatada pelo TechCrunch, a porta-voz da Meta, Margarita Franklin, confirmou que a empresa identificou e corrigiu a falha “algumas semanas atrás”. Além disso, a companhia enviou “menos de 200” notificações aos usuários do WhatsApp que foram afetados.
A porta-voz não informou, ao ser questionada, se o WhatsApp possuía evidências que atribuíssem os ataques a um agressor ou fornecedor de vigilância específico. Ataques zero-click frequentemente visam indivíduos de alto valor, como jornalistas, ativistas e agentes governamentais, devido à sua natureza furtiva e dificuldade de detecção.
O Histórico de Spyware e a luta do WhatsApp pela segurança
Esta não é a primeira vez que usuários do WhatsApp são alvo de spyware governamental, um tipo de malware que pode invadir dispositivos completamente atualizados com vulnerabilidades desconhecidas, conhecidas como falhas zero-day. Em maio, um tribunal dos EUA ordenou que a fabricante de spyware NSO Group pagasse ao WhatsApp US$ 167 milhões em danos por uma campanha de hacking realizada em 2019, que invadiu os dispositivos de mais de 1.400 usuários do WhatsApp com um exploit capaz de instalar o spyware Pegasus da NSO. O WhatsApp processou a NSO, alegando violação das leis federais e estaduais de hacking, assim como suas próprias políticas de uso.
No início deste ano, o WhatsApp desmantelou uma campanha de spyware que mirava cerca de 90 usuários, incluindo jornalistas e membros de organizações civis na Itália. O governo italiano negou envolvimento na campanha de espionagem. A Paragon, que teve seu spyware utilizado na operação, posteriormente restringiu o acesso da Itália a suas ferramentas de hacking por falta de investigação de abusos. Este histórico ressalta a complexidade e persistência dessas ameaças.
Proteja-se: Medidas essenciais contra ataques de Spyware
Para se proteger contra esse tipo de ataque, é fundamental manter seus dispositivos e aplicativos sempre atualizados. A Apple já disponibilizou correções para iOS 18.6.2 e macOS Sequoia 15.6.1. Da mesma forma, o WhatsApp lançou atualizações para as versões afetadas de seus aplicativos. Usuários que receberem alertas do WhatsApp sobre um possível comprometimento devem considerar realizar uma redefinição completa para as configurações de fábrica em seus dispositivos.
Além disso, a Anistia Internacional recomenda que se ativem proteções adicionais. O Modo de Isolamento (Lockdown Mode) no iOS, por exemplo, pode ajudar a minimizar os riscos de ataques zero-click. Esse modo desativa funcionalidades que podem ser exploradas por essas invasões. Mantenha-se atento e informado sobre as últimas ameaças em segurança digital. A segurança proativa é a melhor defesa contra spyware avançado. 🛡️
Fonte: TechCrunch
– Publicidade –
