WhatsApp 0-Day é explorado em ataques a usuários de iOS e macOS
O WhatsApp corrigiu uma falha crítica de dia zero (CVE-2025-55177) que permitia ataques de spyware de clique zero em usuários de iOS e Mac. A falha era usada para roubar dados. Atualize seu aplicativo agora para se manter protegido.
O WhatsApp revelou que corrigiu uma vulnerabilidade de segurança grave em seus aplicativos para dispositivos Apple que era usada para comprometer secretamente iPhones e Macs de "usuários-alvo específicos".
O bug, identificado como CVE-2025-55177 , foi descoberto pela equipe de segurança interna do WhatsApp. A empresa explicou em seu comunicado oficial que a falha fazia parte de uma sofisticada cadeia de ataques que conectava duas vulnerabilidades distintas. Trata-se de um método de ataque de clique zero, que não exige que a vítima clique em um link, abra um arquivo ou realize qualquer outra ação para que seu dispositivo seja comprometido.
A falha em si era um caso de "autorização incompleta de mensagens de sincronização de dispositivos vinculados", explica o aviso. Isso permitiu que um usuário não relacionado forçasse o dispositivo de um alvo a processar conteúdo de um endereço web malicioso.
Quando combinada com uma falha separada da Apple, a CVE-2025-43300 (que a Apple já havia corrigido), no tratamento de imagens, essa cadeia de ataque poderia ser usada para instalar um programa malicioso e roubar dados sem qualquer interação do usuário. Vale ressaltar que a falha afeta o WhatsApp para iOS antes da versão 2.25.21.73, o WhatsApp Business para iOS antes da versão 2.25.21.78 e o WhatsApp para Mac antes da versão 2.25.21.78. O WhatsApp confirmou ter enviado notificações para "menos de 200" usuários que acreditava terem sido afetados.
De acordo com uma declaração da Agência Nacional de Segurança Cibernética (NCSA) do Catar, a gravidade dessa falha está em seu mecanismo de processamento de mensagens de sincronização entre dispositivos vinculados, o que pode permitir que um hacker obtenha acesso inicial ao dispositivo da vítima.
A #Meta , proprietária do famoso aplicativo de bate-papo #WhatsApp , anunciou a existência de uma vulnerabilidade crítica no aplicativo. A gravidade dessa falha reside no mecanismo de processamento de mensagens de sincronização entre dispositivos vinculados, permitindo que um invasor envie uma mensagem… pic.twitter.com/dYIwdij0gP
– Qatar Tribune (@Qatar_Tribune) 30 de agosto de 2025
O Laboratório de Segurança da Anistia Internacional, liderado por Donncha Ó Cearbhaill, descreveu os dois bugs como uma "campanha avançada de spyware" que teve como alvo usuários nos últimos 90 dias, ou seja, desde o final de maio, e era capaz de roubar dados do dispositivo de um usuário, incluindo mensagens. Em uma publicação no X, Cearbhaill também compartilhou dicas importantes, aconselhando as pessoas a atualizarem seus dispositivos ou realizarem uma redefinição de fábrica.
Embora ainda não esteja claro quem está por trás deste último ataque, não é a primeira vez que usuários do WhatsApp são alvos de spyware avançado. Em 2019, o aplicativo de mensagens processou o fabricante de spyware NSO Group por uma campanha de hacking que comprometeu mais de 1.400 usuários com seu spyware Pegasus. Posteriormente, um tribunal dos EUA condenou a empresa a pagar US$ 167 milhões em danos ao WhatsApp .
Este novo incidente demonstra a ameaça contínua de spyware e malware governamentais. Também enfatiza a importância de os usuários manterem seus aplicativos e sistemas operacionais sempre atualizados, já que essas atualizações geralmente contêm patches de segurança críticos para proteção contra ataques tão sofisticados.
HackRead
