WhatsApp corrige falha Zero-Click em dispositivos Apple

O WhatsApp, aplicativo de mensagens da Meta, revelou e corrigiu uma vulnerabilidade crítica que afetava suas versões para iOS e macOS. A falha, batizada de CVE-2025-55177, permite que um hacker explore o dispositivo da vítima sem qualquer interação, configurando um ataque de "zero-clique". Essa brecha, que pode ter sido utilizada em conjunto com outra falha da Apple (CVE-2025-43300), visava usuários específicos em campanhas de espionagem.

A vulnerabilidade foi descoberta pela equipe de segurança interna do WhatsApp e está relacionada à autorização insuficiente de mensagens de sincronização de dispositivos. Segundo a empresa, a falha "poderia ter permitido que um usuário não relacionado acionasse o processamento de conteúdo de uma URL arbitrária no dispositivo de um alvo". As versões afetadas do WhatsApp são:

Versões Afetadas e Correção

• WhatsApp para iOS: Versões anteriores à 2.25.21.73 (Corrigida em 28 de julho de 2025).

• WhatsApp Business para iOS: Versões anteriores à 2.25.21.78 (Corrigida em 4 de agosto de 2025).

• WhatsApp para Mac: Versões anteriores à 2.25.21.78 (Corrigida em 4 de agosto de 2025).

A empresa Meta orienta todos os usuários a atualizarem seus aplicativos para as versões mais recentes para garantir a máxima proteção. A falta de uma atualização pode deixar o dispositivo vulnerável a ataques de malware ou outras formas de invasão.

O WhatsApp confirmou que a vulnerabilidade CVE-2025-55177 pode ter sido explorada em conjunto com a CVE-2025-43300, uma falha no sistema ImageIO da Apple que permite a corrupção de memória ao processar uma imagem maliciosa. A Apple já havia informado que essa brecha estava sendo usada em "um ataque extremamente sofisticado contra indivíduos específicos".

Segundo Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional, o WhatsApp notificou um número não especificado de indivíduos que foram alvo de uma campanha avançada de spyware nos últimos 90 dias, utilizando a falha CVE-2025-55177. As notificações foram enviadas através do próprio aplicativo e incluíam a recomendação de que os usuários afetados fizessem uma restauração de fábrica completa em seus dispositivos para remover qualquer vestígio de software espião.

Um ataque de "zero-clique" dispensa qualquer interação da vítima, como clicar em um link ou abrir um arquivo. Ele se aproveita de brechas no código-fonte para injetar software malicioso no dispositivo, tornando-se uma ameaça extremamente perigosa.

Ó Cearbhaill ressaltou que, embora as investigações ainda estejam em andamento, as primeiras indicações sugerem que a campanha afetou tanto usuários de iPhone quanto de Android, incluindo membros da sociedade civil. O especialista alertou que "o spyware governamental continua a ser uma ameaça para jornalistas e defensores dos direitos humanos".

Em comunicado, o WhatsApp esclareceu que enviou alertas de ameaça para menos de 200 usuários que poderiam ter sido alvos dessa campanha. A identidade dos invasores e o fornecedor do spyware por trás dos ataques ainda são desconhecidos.

Via - THN