O WhatsApp confirmou ter solucionado uma vulnerabilidade crítica que possibilitava a instalação de spyware em dispositivos Apple sem qualquer interação do utilizador. O problema, classificado como ataque zero-click, foi descrito no relatório de segurança do serviço referente a agosto e já recebeu correção através de uma atualização distribuída pela aplicação e pelo sistema operativo da Apple.
Cadeia de exploração envolveu duas falhas
A campanha maliciosa explorava em sequência duas brechas identificadas como CVE-2025-55177 e CVE-2025-43300. A primeira residia na forma como o WhatsApp processava mensagens de sincronização entre dispositivos. Ao enviar uma mensagem adulterada, o atacante forçava o software a ligar-se a um endereço controlado externamente. Esse endereço respondia com uma imagem construída para ativar a segunda vulnerabilidade, existente no ecossistema Apple.
Quando o iPhone da vítima tentava interpretar a imagem, o código escondido no ficheiro assumia controlo do sistema, permitindo a instalação de spyware para monitorizar comunicações, recolher dados e aceder ao dispositivo de forma remota. Por se tratar de um ataque zero-click, o utilizador não precisava abrir a mensagem ou carregar em qualquer ligação, o que reduz drasticamente as hipóteses de deteção.
Alvos escolhidos e notificações enviadas
Segundo a Meta, proprietária do WhatsApp, a campanha foi “altamente direcionada”. Menos de 200 utilizadores receberam avisos sobre possível compromisso dos seus equipamentos, número que indica um ataque focado em perfis de alto valor, como jornalistas, políticos ou defensores de direitos humanos. A organização de direitos digitais Amnesty International descreveu a operação como exemplo de software de vigilância avançado, típico de grupos com recursos significativos.
As notificações enviadas pelo WhatsApp não confirmam que o dispositivo foi efetivamente comprometido; apenas alertam para a exposição a uma tentativa de intrusão no período recente de 90 dias. Os utilizadores avisados são aconselhados a procurar ajuda especializada e a considerar uma reposição de fábrica para remover qualquer código residual.
Correções já disponibilizadas
Tanto o WhatsApp como a Apple já publicaram actualizações que bloqueiam as duas falhas. A empresa de segurança móvel recomenda manter o sistema operativo iOS e a aplicação de mensagens na versão mais recente. Quem não recebeu notificação continua fora do grupo de risco identificado, mas deve igualmente atualizar os dispositivos para evitar exploração futura.
Como proteger o dispositivo
Embora o incidente se encontre controlado, especialistas em cibersegurança aconselham:
- Instalar todas as actualizações disponibilizadas para o iOS e para o WhatsApp;
- Reiniciar o equipamento com regularidade, prática que interrompe sessões maliciosas em alguns cenários;
- Ativar funcionalidades de segurança, como Lockdown Mode no iOS, caso disponível;
- Desconfiar de comportamentos inesperados do dispositivo, como aquecimento excessivo ou consumo anómalo de dados.
Falhas zero-click continuam a preocupar
Vulnerabilidades que dispensam qualquer acção do utilizador representam uma das maiores ameaças actuais à privacidade móvel. A natureza silenciosa desses ataques dificulta a detecção por antivírus convencionais e torna indispensável a rápida distribuição de correções pelos fornecedores de software. Organizações de defesa dos direitos digitais alertam que ferramentas desta natureza são frequentemente vendidas a governos ou entidades privadas para vigiar opositores políticos e jornalistas.
O episódio ilustra a importância de políticas de atualização rápida e de modelos de segurança privacy-first na conceção de aplicações de mensagens. Para já, manter o software atualizado permanece a medida mais eficaz ao alcance dos utilizadores comuns.
