O WhatsApp lançou uma atualização de segurança para corrigir uma vulnerabilidade crítica nos seus clientes de mensagens para iOS e macOS. A falha, do tipo "zero-click", estava a ser ativamente explorada em ataques direcionados e sofisticados para comprometer os dispositivos dos utilizadores.
A empresa detalhou que esta vulnerabilidade, registada como CVE-2025-55177, afeta as versões do WhatsApp para iOS anteriores à 2.25.21.73, WhatsApp Business para iOS anteriores à v2.25.21.78 e WhatsApp para Mac anteriores à v2.25.21.78.
Uma falha 'zero-click' sofisticada
O problema residia numa autorização incompleta de mensagens de sincronização de dispositivos associados. De acordo com o aviso de segurança do WhatsApp, esta brecha podia permitir que um atacante não relacionado provocasse o processamento de conteúdo de um URL arbitrário no dispositivo de um alvo, sem que este precisasse de interagir com qualquer mensagem ou link.
Este tipo de ataque é particularmente perigoso, pois não exige qualquer ação por parte da vítima, tornando a deteção e prevenção muito mais difíceis.
Ataque combinado com vulnerabilidade da Apple
O WhatsApp acredita que esta falha foi explorada em conjunto com outra vulnerabilidade ao nível do sistema operativo da Apple, identificada como CVE-2025-43300. A combinação das duas brechas permitiu a execução de um "ataque sofisticado contra utilizadores alvo específicos".
No início deste mês, a Apple já tinha lançado atualizações de emergência para corrigir a sua própria falha de dia zero, afirmando na altura que a mesma tinha sido explorada num "ataque extremamente sofisticado".
Utilizadores alertados e aconselhados a repor o dispositivo
Embora as empresas não tenham partilhado mais detalhes sobre os ataques, Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Amnistia Internacional, confirmou que o WhatsApp alertou alguns utilizadores de que foram alvo de uma campanha avançada de spyware nos últimos 90 dias.
Nas notificações enviadas, o WhatsApp alerta que, embora as alterações feitas impeçam este ataque específico através da aplicação, o sistema operativo do dispositivo pode permanecer comprometido. A recomendação para os indivíduos potencialmente afetados é drástica: efetuar uma reposição de fábrica do dispositivo e garantir que tanto o sistema operativo como todo o software estão sempre atualizados para a versão mais recente, reforçando a sua segurança.
Este não é um incidente isolado. Em março, o WhatsApp já tinha corrigido outra falha de dia zero que, segundo o Citizen Lab, foi explorada para instalar o spyware Graphite, da empresa Paragon.
Nenhum comentário
Seja o primeiro!