WhatsApp Resolve Grave Vulnerabilidade de Segurança Explorada por Spyware
O WhatsApp corrigiu urgentemente uma vulnerabilidade crítica de segurança que permitia ataques de spyware avançados contra utilizadores da Apple. A plataforma de mensagens, propriedade da Meta, confirmou que reparou a exploração zero-click, designada como CVE-2025-55177, que estava a ser utilizada ativamente para comprometer iPhones e computadores Mac sem qualquer interação do utilizador.
Campanha de Ataque Avançada
A vulnerabilidade foi descoberta em conjunto com uma falha separada no iOS e macOS denominada CVE-2025-43300, que a Apple corrigiu na semana passada. Combinadas, estas vulnerabilidades criaram um vetor de ataque poderoso que permitia o comprometimento completo do dispositivo. Segundo Donncha Ó Cearbhaill, diretor do Security Lab da Amnistia Internacional, isto representou uma "campanha de spyware avançada" que visou indivíduos específicos nos últimos 90 dias.
A porta-voz da Meta, Margarita Franklin, confirmou que a empresa detetou e corrigiu a vulnerabilidade "há algumas semanas" e enviou notificações para "menos de 200" utilizadores do WhatsApp afetados. Os ataques visaram especificamente utilizadores da Apple através da plataforma WhatsApp, demonstrando a sofisticação evolutiva das ferramentas de vigilância patrocinadas pelo Estado.
Mecanismo de Exploração Zero-Click
Os ataques zero-click representam a categoria mais perigosa de ameaças de segurança porque não requerem interação do utilizador. Ao contrário dos ataques de phishing tradicionais que exigem cliques em links maliciosos, as explorações zero-click podem comprometer dispositivos silenciosamente através de comunicação aparentemente legítima. Neste caso, a vulnerabilidade do WhatsApp permitiu que os atacantes entregassem payloads maliciosos que poderiam extrair dados sensíveis, incluindo mensagens, contactos e informações do dispositivo.
Contexto Histórico das Vulnerabilidades do WhatsApp
Este incidente marca o mais recente numa série de desafios de segurança para o WhatsApp. Em maio de 2025, um tribunal americano ordenou que a fabricante de spyware NSO Group pagasse 167 milhões de dólares em indemnizações ao WhatsApp por uma campanha de hacking em 2019 que comprometeu mais de 1.400 utilizadores com o spyware Pegasus. No início deste ano, o WhatsApp interrompeu outra campanha de spyware que visava cerca de 90 utilizadores em Itália, incluindo jornalistas e membros da sociedade civil.
Proteção e Recomendações
Os utilizadores devem garantir que têm as versões mais recentes do WhatsApp e dos seus sistemas operativos. A Apple lançou correções para o iOS e macOS na semana passada, enquanto o WhatsApp implementou correções do lado do servidor. A resposta coordenada entre a Meta e a Apple demonstra uma cooperação industrial melhorada no combate a ameaças avançadas.
Especialistas em segurança recomendam ativar atualizações automáticas, utilizar autenticação de dois fatores e ter cuidado com mensagens inesperadas de contactos desconhecidos. Embora os ataques zero-click sejam individualmente difíceis de prevenir, manter o software atualizado reduz significativamente a exposição a vulnerabilidades.