Alerta de segurança: falha ‘zero-clique’ no WhatsApp foi usada para atacar iPhones e Macs

Escrito por
Emanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...

Falha zero-clique no WhatsApp expôs iPhones e Macs a ataques invisíveis.

A Apple e o WhatsApp liberaram correções para uma perigosa combinação de duas falhas de segurança zero-day que foram ativamente exploradas em ataques zero-clique contra usuários de iPhone e Mac. Em termos práticos, isso significa que seus dispositivos poderiam ser invadidos sem que você clicasse em nada – nem um link, nem um arquivo. O simples fato de usar o app já bastava para abrir a porta de entrada para um ataque invisível e extremamente sofisticado.

A anatomia de um ataque em duas etapas

WhatsApp Apple vulnerability expõe usuários de iPhone e Mac a ataques zero-clique

A primeira brecha foi encontrada no WhatsApp e recebeu o código CVE-2025-55177. Essa falha permitia que mensagens de sincronização de dispositivos vinculados fossem manipuladas para forçar o app a processar conteúdos maliciosos vindos de URLs arbitrários. Pense nisso como uma falsa entrega de encomenda: o WhatsApp recebia algo “aparentemente legítimo”, mas que na verdade carregava um pacote perigoso.

Esse “pacote” malicioso explorava a segunda vulnerabilidade, localizada diretamente no sistema da Apple. Catalogada como CVE-2025-43300, ela atingia o componente ImageIO, usado para processar imagens em iOS, iPadOS e macOS. A falha permitia que imagens manipuladas corrompessem a memória do sistema e abrissem caminho para a execução de código. Em outras palavras, a brecha no WhatsApp foi a porta de entrada, e a falha do sistema operacional foi a trava quebrada que permitiu ao invasor atravessar até o cômodo principal.

De acordo com a Anistia Internacional, os dois bugs foram encadeados em ataques zero-clique, sem qualquer ação por parte da vítima. Indícios apontam que se tratava de uma campanha de spyware direcionada a jornalistas, ativistas e membros da sociedade civil — grupos que historicamente são alvos de vigilância estatal.

Por que isso importa para você?

“Mas eu não sou jornalista nem ativista, será que devo me preocupar?” — a resposta curta é sim. Embora os ataques tenham sido altamente direcionados, a existência dessas falhas mostra o nível de sofisticação que os adversários estão dispostos a investir para penetrar em tecnologias populares. Como lembrou Adam Boynton, especialista da Jamf, WhatsApp e dispositivos da Apple estão entre os mais usados do planeta — o que os torna alvos naturais para campanhas de alto impacto.

Se um atacante consegue explorar um caminho invisível em ferramentas que usamos diariamente, a questão não é apenas “quem foi o alvo inicial”, mas “quem pode ser o próximo se eu não atualizar meu sistema?”.

Ação urgente: atualize seus dispositivos e aplicativos agora

A boa notícia é que tanto a Apple quanto o WhatsApp já lançaram patches de segurança. Mas a proteção só funciona se você os instalar. Aqui estão as versões corrigidas:

  • iOS 18.6.2 e iPadOS 18.6.2, além do iPadOS 17.7.10.
  • macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 e macOS Ventura 13.7.8.
  • WhatsApp para iOS versão 2.25.21.73.
  • WhatsApp Business para iOS versão 2.25.21.78.
  • WhatsApp para Mac versão 2.25.21.78.

Se você ainda não atualizou, o risco é real. Vá agora às configurações do seu iPhone, iPad ou Mac, verifique se há atualizações pendentes e instale a versão mais recente do sistema. Depois, abra a App Store e certifique-se de que o WhatsApp também está na versão mais atual.

A WhatsApp Apple vulnerability deixou claro que ataques invisíveis não são ficção de filme de espionagem — eles estão acontecendo agora. E a única barreira entre você e um invasor é a rapidez com que você atualiza seus dispositivos.

Compartilhe este artigo