Uma vulnerabilidade grave foi identificada no WhatsApp, capaz de atingir usuários de iOS, macOS e iPadOS sem qualquer interação da vítima. O ataque, do tipo zero clique, permite que criminosos assumam o controle total do dispositivo apenas com o envio de uma mensagem maliciosa.
Como funciona o ataque
A exploração combina duas falhas de segurança distintas no WhatsApp. Uma delas está ligada ao tratamento lógico das mensagens, enquanto a outra afeta a biblioteca responsável pela leitura de arquivos DNG, um formato de imagem em código aberto.
Com essa brecha, atacantes conseguem criar imagens DNG corrompidas. Quando processadas pelo aplicativo, elas provocam um erro de memória que faz o WhatsApp executar comandos indevidos, entregando o controle remoto do aparelho ao invasor.
O impacto é sério: acesso a dados confidenciais, monitoramento de conversas e até a instalação de outros malwares. Tudo isso sem que o usuário perceba.
Quem descobriu a vulnerabilidade
A pesquisa foi conduzida pelo grupo independente DarkNavyOrg, que publicou detalhes técnicos em sua conta no X (antigo Twitter). Segundo eles, o problema nasce da falta de validação da origem das mensagens. Isso abre caminho para que hackers disfarcem conteúdo malicioso como se fosse legítimo.
As falhas foram catalogadas como:
-
CVE-2025-55177 – erro lógico no processamento de mensagens;
-
CVE-2025-43300 – vulnerabilidade na biblioteca de interpretação de arquivos DNG.
O DarkNavyOrg chegou a demonstrar um script capaz de automatizar todo o processo: gerar a imagem corrompida, enviá-la via WhatsApp e comprometer o dispositivo-alvo sem qualquer ação do dono do aparelho. O grupo também investiga se o Android pode ser afetado da mesma forma.
E agora?
Até o momento, nem o WhatsApp nem a Apple se pronunciaram oficialmente. Também não há correções disponíveis. A recomendação é manter o sistema operacional e o aplicativo sempre atualizados para receber os patches assim que forem liberados.
Enquanto isso, o caso serve de alerta sobre a sofisticação dos ataques atuais. Explorações “sem clique” elevam o risco para qualquer usuário, já que eliminam a necessidade de interação — como abrir links ou baixar anexos.
