O bug ‘zero click’ do WhatsApp usado para hackear usuários da Apple com spyware
O WhatsApp disse na sexta -feira que corrigiu um bug de segurança em seus aplicativos iOS e Mac que estavam sendo usados para invadir furtivamente os dispositivos da Apple de “usuários direcionados específicos”. A gigante do aplicativo de mensagens de propriedade meta disse em seu aviso de segurança que fixou a vulnerabilidade, conhecida oficialmente como CVE-2025-55177, que foi usada ao lado de uma falha separada encontrada no iOS e Macs, que a Apple fixou na semana passada e rastreia como CVE-2015-43300. A Apple disse na época que a falha foi usada em um “ataque extremamente sofisticado contra indivíduos direcionados específicos”. Agora sabemos que dezenas de usuários do WhatsApp foram direcionados com esse par de falhas. Donncha Ó Cearbhaill, que lidera o Laboratório de Segurança da Anistia Internacional, descreveu o ataque em um post em X como uma “campanha avançada de spyware” que direcionou os usuários nos últimos 90 dias ou desde o final de maio. Ó Cearbhaill descreveu o par de bugs como um ataque de “clique zero”, o que significa que não requer nenhuma interação da vítima, como clicar em um link, para comprometer o dispositivo. Os dois bugs encadeados permitem que um invasor entregue uma exploração maliciosa através do WhatsApp, capaz de roubar dados do dispositivo Apple do usuário. Por Ó Cearbhaill, que postou uma cópia da notificação de ameaça que o WhatsApp enviou aos usuários afetados, o ataque foi capaz de “comprometer seu dispositivo e os dados que ele contém, incluindo mensagens”. Não está claro imediatamente quem, ou qual fornecedor de spyware, está por trás dos ataques. Quando alcançado pelo TechCrunch, a porta -voz da Meta Margarita Franklin confirmou que a empresa detectou e corrigiu a falha “algumas semanas atrás” e que a empresa enviou notificações “menos de 200” para os usuários do WhatsApp afetados. O porta -voz não disse, quando perguntado, se o WhatsApp tem evidências para atribuir os hacks a um invasor específico ou fornecedor de vigilância. Não é a primeira vez que os usuários do WhatsApp são direcionados por spyware do governo, um tipo de malware capaz de invadir dispositivos totalmente remendados com vulnerabilidades não conhecidas pelo fornecedor, conhecido como falhas de dia zero. Em maio, um Tribunal dos EUA ordenou que o Spyware Maker NSO Group pagasse o WhatsApp US $ 167 milhões em danos por uma campanha de hackers de 2019 que invadiu os dispositivos de mais de 1.400 usuários do WhatsApp com uma exploração capaz de plantar Spyware Pegasus da NSO. O Whatsapp trouxe o caso legal contra a NSO, citando uma violação das leis de hackers federais e estaduais, bem como seus próprios termos de serviço. No início deste ano, o WhatsApp interrompeu uma campanha de spyware que visava cerca de 90 usuários, incluindo jornalistas e membros da sociedade civil em toda a Itália. O governo italiano negou seu envolvimento na campanha de espionagem. Paragon, cujo spyware foi usado na campanha, depois cortou a Itália de suas ferramentas de hackers por não investigar o abuso. Você recebeu uma notificação de que seu dispositivo foi comprometido? Entre em contato com este repórter com segurança através do nome de usuário Zackwhittaker.1337 no sinal.
Fonte
