Vulnerabilidade de “zero clique” permitia roubo de mensagens sem interação do usuário; ataque foi classificado como spyware avançado
O WhatsApp anunciou nesta semana a correção de uma grave vulnerabilidade de segurança que afetava usuários de dispositivos Apple, incluindo iPhones e computadores Mac. A falha, descrita como um ataque de “zero clique”, permitia que invasores espiassem mensagens sem que a vítima precisasse clicar em links ou realizar qualquer ação.
Segundo a Anistia Internacional, que investiga violações de privacidade digital, essa falha foi ativamente explorada desde maio de 2025 por um grupo ainda não identificado. A organização afirma que a campanha se encaixa no padrão de ataques com spyware avançado, como o notório Pegasus.
O que é uma vulnerabilidade “zero clique”?
Ataques do tipo “zero clique” são os mais perigosos no mundo da segurança digital. Eles não exigem nenhuma interação do usuário, o que significa que basta o dispositivo estar vulnerável para que o ataque seja bem-sucedido. Em geral, essas falhas são exploradas silenciosamente, deixando poucos ou nenhum vestígio para as vítimas.
No caso do WhatsApp, os criminosos podiam acessar mensagens privadas e outros dados sensíveis, mesmo que o aplicativo estivesse atualizado dentro de uma margem considerada segura até então.
Quem foi afetado?
A vulnerabilidade atingia versões anteriores à v2.25.21.73 no iOS e à v2.25.21.78 no macOS. Embora o número exato de pessoas afetadas ainda não tenha sido revelado, a falha era potencialmente explorável em qualquer aparelho Apple que estivesse usando o WhatsApp nas versões anteriores às citadas.
O WhatsApp, de propriedade da Meta, informou que a correção já foi aplicada nas versões mais recentes do aplicativo e recomenda que todos os usuários atualizem imediatamente seus apps nos respectivos dispositivos.
Como o ataque foi descoberto?
A Anistia Internacional revelou a falha durante uma investigação de rotina sobre ameaças à liberdade de expressão e vigilância digital. A organização identificou padrões de atividade suspeita em aparelhos usados por ativistas, jornalistas e defensores de direitos humanos, alertando posteriormente a Meta sobre o problema.
Embora a empresa não tenha confirmado detalhes técnicos específicos, especialistas sugerem que a falha envolvia manipulação de arquivos de mídia recebidos, que ao serem processados automaticamente pelo app ativavam a brecha.
Espionagem digital: um problema crescente
Este caso se soma a uma lista cada vez maior de incidentes envolvendo spywares sofisticados. O uso de ferramentas como o Pegasus levantou, nos últimos anos, debates éticos, legais e diplomáticos, especialmente quando governos ou grupos privados empregam essas tecnologias para monitorar cidadãos, jornalistas e opositores políticos.
O ataque descoberto na plataforma da Meta reforça o alerta sobre a importância de manter os dispositivos atualizados e de adotar boas práticas de segurança — mesmo para apps amplamente confiáveis.
Sem culpados — por enquanto
Até o momento, nenhum grupo ou governo assumiu a autoria dos ataques. A Meta não comentou se houve colaboração com agências de segurança nacionais ou internacionais, e tampouco forneceu detalhes sobre o número de pessoas atingidas. Especialistas em cibersegurança seguem monitorando possíveis variantes da falha.
Você mantém seus aplicativos sempre atualizados? Já foi vítima de espionagem digital ou conhece alguém que tenha enfrentado esse tipo de invasão? Conte pra gente nos comentários!
Fontes:
Amnesty International, The Hacker News, Meta Security Advisory