WhatsApp e Apple Sob Ataque: Entenda a Falha Crítica que Permitia Invasões Sem Clique.

Introdução

Durante muito tempo, os sistemas operacionais iOS e macOS da Apple ganharam a reputação de serem praticamente invioláveis. Dotados de uma arquitetura fechada, controles rígidos de segurança e um ecossistema cuidadosamente bloqueado, esses sistemas foram vistos como um refúgio seguro para usuários preocupados com a proteção de seus dados. Contudo, essa impressão de invulnerabilidade é um mito perigoso que vem sendo quebrado ao longo do tempo e foi mostrado como falso recentemente com a divulgação de uma séria falha de segurança no aplicativo WhatsApp, que impactou dispositivos Apple em 2025.

Essa vulnerabilidade, combinada com outra última descoberta na própria infraestrutura do sistema da Apple, abriu portas para ataques "zero-click" — capazes de comprometer dispositivos sem que o usuário precise executar qualquer ação, como clicar em links ou abrir mensagens. Tais ataques silenciosos representam uma das formas mais temidas e poderosas de invasão digital, atingindo diretamente a privacidade de jornalistas, ativistas e membros da sociedade civil.

Este artigo explora em detalhes essas vulnerabilidades críticas, explica seu funcionamento, esclarece os riscos reais mesmo para donos de aparelhos Apple, e oferece orientações práticas para mitigar essas ameaças.

Sobre a vulnerabilidade zero-click no WhatsApp

Em julho e agosto de 2025, o WhatsApp liberou atualizações emergenciais para corrigir uma falha grave classificada como “zero-click”, catalogada sob o identificador CVE-2025-55177. Ao contrário de ataques tradicionais em que o invasor depende que a vítima clique em um link ou interaja com algum conteúdo malicioso, essa falha permitia a realização da invasão sem qualquer interação do usuário.

A vulnerabilidade foi descoberta no processo de sincronização entre dispositivos vinculados a uma mesma conta do WhatsApp. Nessa etapa, uma autorização insuficiente nos mecanismos internos permitia que um invasor forçasse a execução automática de URLs maliciosos nos dispositivos da vítima. Por meio desse método, o invasor poderia carregar códigos maliciosos para espionagem, coleta de dados ou instalação de softwares espiões, tudo de forma praticamente invisível.

As versões afetadas incluíam o WhatsApp para iOS anterior à 2.25.21.73 e o WhatsApp para macOS anterior à 2.25.21.78, ambas corrigidas em atualizações de segurança cruciais lançadas na segunda metade de 2025. A Meta (empresa controladora do WhatsApp) notificou as vítimas identificadas nessas campanhas de ataques patrocinados, recomendando a redefinição de fábrica dos dispositivos afetados e manutenção constante das atualizações.

A exploração dessa falha faz parte de uma campanha direcionada, geralmente voltada para perfis sensíveis, como jornalistas investigativos, ativistas de direitos humanos e membros da sociedade civil. Especialistas destacam esse tipo de ataque como representação do crescimento do uso de spyware patrocinado por governos, que não dependem da ação do usuário para comprometer a segurança.

Falha associada no sistema Apple (CVE-2025-43300)

Em paralelo a essa vulnerabilidade do WhatsApp, a Apple também identificou e corrigiu em agosto de 2025 uma falha crítica no framework ImageIO, responsável pelo processamento de imagens em iPhones, iPads e Macs. Catalogada como CVE-2025-43300, essa vulnerabilidade se trata de uma condição de "escrita fora dos limites" ao processar uma imagem especialmente forjada, o que pode causar corrupção de memória e permitir a execução remota de código arbitrário.

Essa falha possibilita que um atacante execute comandos maliciosos no dispositivo apenas enviando uma imagem manipulada que, ao ser processada pelo sistema, desencadeia o erro de memória. A Apple reconheceu a exploração ativa dessa vulnerabilidade em ataques sofisticados e direcionados, novamente com foco em indivíduos específicos que podem ser considerados alvos de espionagem digital.

As versões afetadas incluíam iOS antes da 18.6.2, macOS Sequoia antes da 15.6.1, macOS Sonoma antes da 14.7.8, entre outras. As atualizações de segurança lançadas corrigiram a falha aprimorando os controles internos de limites de memória durante o processamento das imagens.

Essa vulnerabilidade demonstra que a segurança dos sistemas Apple, apesar de robusta, não é imune ao surgimento de falhas graves e à exploração por agentes altamente capacitados, reforçando a necessidade constante de atualização e conscientização dos usuários.

A realidade das vulnerabilidades em iOS e macOS

Durante anos, a ideia de que dispositivos Apple são invioláveis gerou um falso senso de segurança em muitos usuários, levando-os a subestimar riscos e negligenciar práticas básicas de proteção. Contudo, o cenário de 2025 mostra que o crescimento das vulnerabilidades zero-day é uma realidade até mesmo nas plataformas mais fechadas.

Dados recentes indicam que o volume de falhas de segurança divulgadas tem aumentado significativamente, com mais de 130 novas vulnerabilidades sendo descobertas diariamente globalmente no setor de tecnologia. A Apple, embora rigorosa em seus processos internos, não está imune a esse aumento, já tendo corrigido múltiplas falhas críticas que afetaram iOS, macOS e iPadOS ao longo do ano.

Falhas zero-click, como as exploradas no WhatsApp e no ImageIO, são particularmente perigosas por disporem de técnicas avançadas que não exigem interação do usuário para execução do ataque. Isso exige que usuários e organizações adotem uma postura proativa em relação à segurança digital.

Adotar a mentalidade de atualização constante, usar autenticação forte, e avaliar cuidadosamente as permissões e fontes de instalação de aplicativos são medidas indispensáveis para garantir a resistência a ameaças cada vez mais sofisticadas.

Recomendações práticas para usuários

Diante desse cenário crítico, algumas práticas são essenciais para garantir a segurança dos dispositivos Apple contra ataques semelhantes:

• Mantenha seus dispositivos sempre atualizados — Instale as atualizações do sistema operacional e aplicativos assim que estiverem disponíveis, especialmente aquelas relacionadas à segurança. No caso do WhatsApp, atualize para as versões corrigidas imediatamente.

• Realize redefinição de fábrica se suspeitar de invasão — Usuários notificados de ataques direcionados devem considerar restaurar os dispositivos para as configurações originais, eliminando potenciais softwares maliciosos.

• Cuidado com arquivos e links desconhecidos — Evite abrir imagens, links ou arquivos recebidos por fontes não confiáveis, pois podem conter códigos maliciosos.

• Use autenticação forte e múltiplos fatores — Ativar autenticação em dois fatores no WhatsApp e demais contas reduz a chance de ataques baseados em credenciais.

• Monitoramento e consciência contínua — Acompanhe notícias e alertas oficiais das fabricantes e órgãos de segurança para manter-se informado sobre novas ameaças.

Conclusão

A história recente das falhas zero-day exploradas no WhatsApp e no sistema Apple reforça que não existem sistemas 100% seguros ou invioláveis. Mesmo plataformas robustas e fechadas, como iOS e macOS, estão sujeitas a vulnerabilidades sofisticadas exploradas por agentes cibernéticos altamente capacitados.

Desmistificar o mito da invulnerabilidade é fundamental para que usuários adotem práticas responsáveis e efetivas de proteção digital. A atualização constante, a prudência no uso de arquivos recebidos, e a conscientização sobre o ambiente digital são pilares para minimizar riscos.

Acompanhar as evoluções em segurança da informação, respeitando as orientações das fabricantes e órgãos especializados, é o melhor caminho para manter a privacidade e a segurança dos dispositivos em um mundo cada vez mais conectivo e digitalmente ameaçado.

Referências

• Apple Support. "About the security content of iOS 18.6.2 and iPadOS 18.6.2." Disponível em: https://support.apple.com/en-us/124925 (Acesso em 2 set 2025).

• Boletimsec.com.br. "WhatsApp corrige falha grave explorada em ataques de dia zero contra iOS e macOS." Disponível em: https://boletimsec.com.br/whatsapp-corrige-falha-grave-explorada-em-ataques-de-dia-zero-contra-ios-e-macos/ (Acesso em 2 set 2025).

• Malwarebytes.com. "WhatsApp fixes vulnerability used in zero-click attacks." Disponível em: https://www.malwarebytes.com/blog/news/2025/09/whatsapp-fixes-vulnerability-used-in-zero-click-attacks (Acesso em 2 set 2025).

• National Vulnerability Database (NVD). "CVE-2025-43300 Detail." Disponível em: https://nvd.nist.gov/vuln/detail/CVE-2025-43300 (Acesso em 2 set 2025).

• Socprime.com. "CVE-2025-43300 Vulnerabilidade: Zero-Day no iOS, iPadOS e macOS." Disponível em: https://socprime.com/pt/blog/cve-2025-43300-zero-day-vulnerability/ (Acesso em 2 set 2025).