A Apple e o WhatsApp liberaram correções para uma perigosa combinação de duas falhas de segurança zero-day que foram ativamente exploradas em ataques zero-clique contra usuários de iPhone e Mac. Em termos práticos, isso significa que seus dispositivos poderiam ser invadidos sem que você clicasse em nada – nem um link, nem um arquivo. O simples fato de usar o app já bastava para abrir a porta de entrada para um ataque invisível e extremamente sofisticado.
A anatomia de um ataque em duas etapas
A primeira brecha foi encontrada no WhatsApp e recebeu o código CVE-2025-55177. Essa falha permitia que mensagens de sincronização de dispositivos vinculados fossem manipuladas para forçar o app a processar conteúdos maliciosos vindos de URLs arbitrários. Pense nisso como uma falsa entrega de encomenda: o WhatsApp recebia algo “aparentemente legítimo”, mas que na verdade carregava um pacote perigoso.
Esse “pacote” malicioso explorava a segunda vulnerabilidade, localizada diretamente no sistema da Apple. Catalogada como CVE-2025-43300, ela atingia o componente ImageIO, usado para processar imagens em iOS, iPadOS e macOS. A falha permitia que imagens manipuladas corrompessem a memória do sistema e abrissem caminho para a execução de código. Em outras palavras, a brecha no WhatsApp foi a porta de entrada, e a falha do sistema operacional foi a trava quebrada que permitiu ao invasor atravessar até o cômodo principal.
De acordo com a Anistia Internacional, os dois bugs foram encadeados em ataques zero-clique, sem qualquer ação por parte da vítima. Indícios apontam que se tratava de uma campanha de spyware direcionada a jornalistas, ativistas e membros da sociedade civil — grupos que historicamente são alvos de vigilância estatal.
Por que isso importa para você?
“Mas eu não sou jornalista nem ativista, será que devo me preocupar?” — a resposta curta é sim. Embora os ataques tenham sido altamente direcionados, a existência dessas falhas mostra o nível de sofisticação que os adversários estão dispostos a investir para penetrar em tecnologias populares. Como lembrou Adam Boynton, especialista da Jamf, WhatsApp e dispositivos da Apple estão entre os mais usados do planeta — o que os torna alvos naturais para campanhas de alto impacto.
Se um atacante consegue explorar um caminho invisível em ferramentas que usamos diariamente, a questão não é apenas “quem foi o alvo inicial”, mas “quem pode ser o próximo se eu não atualizar meu sistema?”.
Ação urgente: atualize seus dispositivos e aplicativos agora
A boa notícia é que tanto a Apple quanto o WhatsApp já lançaram patches de segurança. Mas a proteção só funciona se você os instalar. Aqui estão as versões corrigidas:
- iOS 18.6.2 e iPadOS 18.6.2, além do iPadOS 17.7.10.
- macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 e macOS Ventura 13.7.8.
- WhatsApp para iOS versão 2.25.21.73.
- WhatsApp Business para iOS versão 2.25.21.78.
- WhatsApp para Mac versão 2.25.21.78.
Se você ainda não atualizou, o risco é real. Vá agora às configurações do seu iPhone, iPad ou Mac, verifique se há atualizações pendentes e instale a versão mais recente do sistema. Depois, abra a App Store e certifique-se de que o WhatsApp também está na versão mais atual.
A WhatsApp Apple vulnerability deixou claro que ataques invisíveis não são ficção de filme de espionagem — eles estão acontecendo agora. E a única barreira entre você e um invasor é a rapidez com que você atualiza seus dispositivos.
