WhatsApp corrige falha crítica explorada em ataques sofisticados com spyware

O WhatsApp lançou uma correção para uma vulnerabilidade de zero-day considerada crítica e que terá sido explorada em ataques altamente sofisticados.

A vulnerabilidade, registada como CVE-2025-55177, está relacionada com a “autorização incompleta de mensagens de sincronização de dispositivos ligados”. Segundo a empresa, poderia permitir a um utilizador não autorizado desencadear o processamento de URL maliciosos no dispositivo da vítima.

De acordo com o comunicado, esta vulnerabilidade poderá ter sido explorada em conjunto com uma vulnerabilidade ao nível do sistema operativo da Apple (CVE-2025-43300), corrigida a 20 de agosto. Esta última dizia respeito a um “problema de gravação fora dos limites”, que permitia a corrupção de memória ao processar ficheiros de imagem manipulados.

Especialistas acreditam que ambas as vulnerabilidades foram usadas em campanhas de spyware comercial direcionadas a utilizadores específicos. A suspeita foi confirmada por Donncha Ó Cearbhaill, chefe do laboratório de segurança da Amnistia Internacional, que investiga o uso de spyware contra membros da sociedade civil.

Casos semelhantes já tinham sido identificados no passado. Em 2023, investigadores descobriram um ataque de zero click contra iPhones, associado ao spyware desenvolvido pela empresa israelita QuaDream. Tal como em campanhas anteriores, estas ferramentas maliciosas não requerem qualquer interação do utilizador, permitindo acesso invisível à câmara, microfone, mensagens e fotografias.

A utilização de spyware em plataformas de comunicação não é novidade. Em 2019, o WhatsApp processou o NSO Group, criador do Pegasus, depois de descobrir que o software tinha sido usado para atacar mais de mil utilizadores, incluindo ativistas, jornalistas e diplomatas. A batalha judicial terminou este ano com uma indemnização de 167 milhões de dólares a favor do WhatsApp.