O WhatsApp corrigiu uma vulnerabilidade grave em seus aplicativos para iOS e macOS que pode ter sido explorada em conjunto com uma falha recentemente revelada pela Apple em ataques de dia zero altamente direcionados. Identificada como CVE-2025-55177, a falha estava relacionada a uma autorização insuficiente no processo de sincronização entre dispositivos vinculados. Segundo a Meta, esse problema poderia permitir que invasores forçassem o processamento de URLs maliciosos nos aparelhos das vítimas.
As versões afetadas incluem o WhatsApp para iOS anterior à 2.25.21.73, corrigido em 28 de julho de 2025, além do WhatsApp Business e do WhatsApp para Mac versão 2.25.21.78, ambos corrigidos em 4 de agosto. Pesquisadores internos da empresa identificaram e revisaram o bug.
A exploração pode ter sido combinada com a falha CVE-2025-43300, descoberta pela Apple, que afeta iOS, iPadOS e macOS. Trata-se de uma vulnerabilidade de gravação fora dos limites na estrutura ImageIO, capaz de causar corrupção de memória ao processar imagens maliciosas. A Apple classificou o caso como um ataque sofisticado contra indivíduos específicos.
Segundo Donncha Ó Cearbhaill, da Anistia Internacional, o WhatsApp notificou usuários que foram alvo de uma campanha de spyware nos últimos 90 dias. As vítimas receberam a recomendação de realizar uma redefinição de fábrica e manter aplicativos e sistemas sempre atualizados.
Esse tipo de ataque é descrito como “clique zero”, pois não exige qualquer ação do usuário, como abrir links. Para especialistas, a ameaça reforça o papel crescente de spyware patrocinado por governos contra jornalistas, defensores de direitos humanos e membros da sociedade civil.
