Latest:
Imagem do WhatsApp após corrigir falha zero-click em iOS e macOS, atualização de segurança urgente
NoticiasInteligência ArtificialTecnologia

WhatsApp corrige falha zero-click no iOS e macOS

Diogo Fernando , , 8 min Leitura
PUBLICIDADE

WhatsApp lançou atualização de emergência hoje para iOS e macOS após detectar exploração ativa de uma falha zero-click (CVE-2025-55177, CVSS 8.0) que interagia com um bug da Apple. A vulnerabilidade envolvia autorização insuficiente em mensagens de sincronização de dispositivos vinculados e podia permitir que um usuário não relacionado disparasse o processamento de conteúdo a partir de uma URL arbitrária no aparelho da vítima. Pesquisadores internos da equipe de Segurança do WhatsApp identificaram e reclassificaram o problema, e a empresa recomenda atualização imediata.

O que foi corrigido: CVE-2025-55177

Segundo o comunicado oficial de segurança do WhatsApp, o CVE-2025-55177 decorre de autorização insuficiente para mensagens usadas na sincronização de dispositivos vinculados (linked devices). Em cenários específicos, um ator não relacionado poderia induzir o app da vítima a processar conteúdo vindo de uma URL arbitrária — sem qualquer ação do usuário. Esse tipo de vetor, classificado como zero-click, elimina a necessidade de toques ou cliques e amplia o risco para alvos de alto valor.

Classificado com pontuação CVSS 8.0 (alta severidade), o bug foi descoberto por pesquisadores da própria equipe de Segurança do WhatsApp, que também cuidaram da correção. A empresa não detalhou indicadores de comprometimento além de orientar atualização imediata do aplicativo e do sistema operacional.

PUBLICIDADE

Versões afetadas e ação recomendada

A falha impacta versões específicas do aplicativo, conforme a meta (WhatsApp/WhatsApp Business) e a plataforma. Veja o panorama e o que fazer:

AplicativoVersões afetadasPlataformaAção recomendada
WhatsApp para iOSAnterior a 2.25.21.73iPhone (iOS)Atualize para a versão mais recente disponível na App Store
WhatsApp Business para iOS2.25.21.78iPhone (iOS)Atualize imediatamente para a versão mais recente; verifique se há patch subsequente
WhatsApp para Mac2.25.21.78macOSAtualize para a versão mais recente disponível na Mac App Store/website

Para checar sua versão no iPhone: Ajustes → Geral → Armazenamento do iPhone → WhatsApp (ou abra a App Store e busque por atualizações). No macOS, use a Mac App Store ou o menu WhatsApp → Sobre o WhatsApp para ver a versão instalada. A orientação é manter tanto o app quanto o sistema operacional sempre atualizados.

Cadeia com bug da Apple (CVE-2025-43300)

O WhatsApp avalia que o CVE-2025-55177 pode ter sido encadeado com o CVE-2025-43300, um zero-day que a Apple corrigiu recentemente em iOS, iPadOS e macOS. Esse segundo bug, no framework ImageIO, é uma vulnerabilidade de out-of-bounds write (escrita fora dos limites) que pode causar corrupção de memória ao processar imagem maliciosa. A Apple reportou uso em ataques “extremamente sofisticados” contra indivíduos específicos.

Encadear falhas (chaining) é prática comum em operações de spyware: um bug inicial abre a porta; outro viabiliza execução de código e persistência. Nesse caso, a questão zero-click no WhatsApp teria servido como vetor para acionar processamento de conteúdo malicioso, enquanto o bug em ImageIO possibilitaria a exploração de memória durante a análise da imagem.

Quem foi alvo e quais medidas tomar

Donncha Ó Cearbhaill, chefe do Security Lab da Anistia Internacional, afirmou que o WhatsApp notificou um número não divulgado de pessoas potencialmente visadas por uma campanha avançada de spyware nos últimos 90 dias usando o CVE-2025-55177. No alerta, o WhatsApp recomenda restauração de fábrica do dispositivo, além de manter o sistema e o aplicativo atualizados. Ainda não há atribuição pública do ator responsável — ou do fornecedor do spyware.

“Indicações iniciais apontam que o ataque ao WhatsApp está afetando usuários de iPhone e Android — incluindo pessoas da sociedade civil. Spyware estatal continua a ameaçar jornalistas e defensores de direitos humanos.”

Donncha Ó Cearbhaill, Anistia Internacional

Como se proteger agora (passo a passo)

  • iPhone (iOS): Abra a App Store → Atualizações → atualize o WhatsApp; depois Ajustes → Geral → Atualização de Software e instale o iOS mais recente.
  • Mac (macOS): Atualize o WhatsApp pela Mac App Store ou site oficial; em seguida, Ajustes do Sistema → Geral → Atualização de Software.
  • Ative atualizações automáticas para apps e sistema operacional.
  • Revise dispositivos vinculados no WhatsApp (Configurações → Dispositivos Conectados) e remova sessões desconhecidas.
  • Higiene de segurança: bloqueio com código/biometria, backup cifrado, two-step verification (verificação em duas etapas) ativada.
  • Se for alvo de alto risco: após backup seguro, considere restauração de fábrica e reinstalação limpa.

Zero-clicks são, por natureza, difíceis de detectar pelo usuário. Por isso, a melhor defesa é reduzir a superfície de ataque mantendo todo o ecossistema atualizado, revogando sessões suspeitas e monitorando comunicações de segurança oficiais do fornecedor.

Validação e fontes oficiais

Contexto: por que ataques zero-click preocupam

Explorações zero-click dispensam interação do usuário, o que dificulta bloqueio por filtros de phishing e reduz sinais perceptíveis. Em plataformas móveis, bibliotecas de processamento de mídia (como ImageIO) costumam ser alvo, pois analisam conteúdo vindo de mensagens e prévias. Grupos que operam spyware de nível estatal tendem a alavancar cadeias de 0-days para manter acesso sigiloso a dispositivos de jornalistas, ativistas e dissidentes, visando vigilância e exfiltração de dados.

Nos últimos anos, fornecedores comerciais de spyware sofisticado foram associados a campanhas contra a sociedade civil. O caso atual reforça a importância de processos de atualização ágeis pelos fornecedores e de políticas de endurecimento (hardening) por usuários e organizações, incluindo verificação em duas etapas, MDM para parques corporativos e revisão de permissões de aplicativos.

Definições rápidas

Zero-click: ataque que não exige ação do usuário (como tocar ou clicar) para iniciar a exploração, aumentando a taxa de sucesso contra alvos atentos.

CVE-2025-55177 (WhatsApp): autorização insuficiente em mensagens de sincronização de dispositivos vinculados; potencial processamento de URL arbitrária no dispositivo alvo.

CVE-2025-43300 (Apple ImageIO): escrita fora dos limites ao processar imagens; pode levar à corrupção de memória e execução de código.

  1. Quais versões do WhatsApp foram afetadas?

    Resposta direta: iOS anterior à 2.25.21.73; Business iOS 2.25.21.78; Mac 2.25.21.78. Expansão: a Meta listou essas compilações como impactadas e recomenda atualizar para a versão mais recente em cada plataforma. Validação: veja o advisory de 2025 do WhatsApp e o registro do NVD para o CVE-2025-55177.

  2. O ataque exige clique do usuário?

    Resposta direta: não, trata-se de um zero-click. Expansão: a exploração poderia disparar processamento de conteúdo vindo de URL arbitrária sem interação do usuário, elevando risco para alvos de alto valor. Validação: descrição técnica do CVE-2025-55177 e nota do WhatsApp sobre autorização insuficiente.

  3. Essa falha se combina com um bug da Apple?

    Resposta direta: possivelmente, com o CVE-2025-43300. Expansão: o WhatsApp avalia encadeamento com vulnerabilidade de ImageIO (escrita fora dos limites) corrigida pela Apple em iOS/iPadOS/macOS. Validação: comunicado da Apple e cobertura técnica especializada do caso.

  4. O que devo fazer agora para me proteger?

    Resposta direta: atualize app e sistema imediatamente. Expansão: instale a versão mais recente do WhatsApp (iOS/Mac), atualize iOS/iPadOS/macOS, revise dispositivos vinculados e, se for alvo, considere restauração de fábrica. Validação: recomendações do WhatsApp e de pesquisadores de segurança que acompanham a campanha.

  5. Há indícios de impacto em Android?

    Resposta direta: há relatos preliminares. Expansão: segundo a Anistia Internacional, indicações iniciais sugerem impacto em iPhone e Android; monitore atualizações do WhatsApp para Android. Validação: declaração pública de Donncha Ó Cearbhaill no Twitter.

Considerações finais

A correção do CVE-2025-55177 reforça que plataformas de mensagens seguem na mira de operadores de spyware e de campanhas direcionadas. Embora detalhes técnicos completos não tenham sido divulgados, a combinação de um vetor zero-click no WhatsApp com a falha do ImageIO da Apple sustenta a avaliação de ataque sofisticado. A prioridade agora é reduzir superfícies de ataque: atualizar WhatsApp e sistemas Apple, revisar dispositivos vinculados e adotar práticas de segurança rigorosas — especialmente para jornalistas, defensores de direitos humanos e demais perfis de alto risco.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Você pode gostar também

Imagem ilustrativa de uma ameaça à segurança de navegadores, representando o contexto do golpe de suporte técnico que injeta números falsos em sites oficiais via anúncios Google.

Novo golpe insere números falsos em sites via anúncios Google

Diogo Fernando
Logo do Reddit em destaque com fundo abstrato simbolizando redes neurais e inteligência artificial, representando a nova verificação contra bots IA.

Reddit Reforça Verificação de Usuários em 2025: Fim do Anonimato para Barrar Bots IA?

Diogo Fernando
Hackers usam repositórios GitHub para enviar malwares como Amadey e burlar sistemas de segurança. Imagem: exemplo de trojan em ação.

Hackers usam GitHub para espalhar Amadey e outros malware

Diogo Fernando
0 0 votos
Classificação do artigo
Inscrever-se
Notificar de
guest

0 Comentários
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários
0
Adoraria saber sua opinião, comente.x