O WhatsApp corrigiu uma vulnerabilidade de dia zero em seus aplicativos para iOS e macOS que foi usada em ataques de hackers direcionados. A vulnerabilidade, identificada como CVE-2025-55177, permitia o processamento de dados de uma URL arbitrária no dispositivo da vítima sem interação do usuário.
Fonte da imagem: Mika Baumeister / Unsplash
Como escreve o BleepingComputer, estamos falando da chamada “vulnerabilidade de clique zero” que afeta o WhatsApp para iOS abaixo de 2.25.21.73, o WhatsApp Business para iOS versão 2.25.21.78 e o WhatsApp para Mac versão 2.25.21.78. Segundo a própria empresa, o erro está relacionado à autorização incompleta de mensagens de sincronização de dispositivos vinculados, o que teoricamente permitia que um invasor iniciasse o processamento de conteúdo de qualquer endereço externo no dispositivo da vítima.
Observa-se que essa vulnerabilidade, em combinação com um bug no sistema operacional da Apple (CVE-2025-43300), poderia ser usada em um ataque sofisticado contra indivíduos específicos. No início deste mês, a Apple lançou atualizações de emergência para corrigir o CVE-2025-43300, afirmando que a vulnerabilidade já havia sido explorada em um “ataque extremamente sofisticado”. Ambas as empresas ainda não divulgaram detalhes sobre a escala do incidente ou as identidades das pessoas afetadas.
De acordo com Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional, o WhatsApp começou a enviar notificações a alguns usuários informando que foram alvos de spyware nos últimos 90 dias. As notificações indicam que a empresa fez alterações para impedir ataques por meio de seu aplicativo de mensagens, mas o sistema operacional do dispositivo ainda pode estar comprometido por malware ou vulnerável a outros ataques. Os usuários que receberem esses avisos são aconselhados a realizar uma redefinição completa de fábrica e garantir que seu sistema operacional e aplicativos estejam atualizados.
Esta é a segunda vez neste ano que o WhatsApp corrige um exploit de dia zero usado para instalar spyware. Em março, a empresa corrigiu uma falha usada para instalar o spyware Graphite, da Paragon, após pesquisadores do Citizen Lab da Universidade de Toronto entrarem em contato com a empresa. Na época, um porta-voz do WhatsApp informou ao BleepingComputer que a campanha havia sido encerrada e que os usuários que a empresa acreditava terem sido afetados haviam recebido notificações pessoais.