Uma pesquisa divulgada nesta semana pela equipe de segurança canadense-alemã Mysk revelou uma vulnerabilidade estrutural grave no WhatsApp: o histórico completo de conversas dos usuários é armazenado sem qualquer criptografia nos dispositivos Apple — tanto iPhones quanto Macs — e fica acessível a outros aplicativos da Meta, como o Facebook e o Instagram, sem que o usuário seja notificado ou precise dar qualquer permissão adicional.
A descoberta acende um alerta direto para os titulares de dados pessoais no Brasil e reforça a importância de mecanismos regulatórios robustos como a Lei Geral de Proteção de Dados (LGPD).
1. O que foi descoberto
Os pesquisadores da Mysk identificaram que o WhatsApp armazena todas as mensagens em um arquivo de banco de dados SQLite chamado “Axolotl.sqlite“, gravado em uma pasta compartilhada do sistema operacional iOS e MacOS, identificada como:
group.net.whatsapp.WhatsApp.shared
Esse tipo de pasta — denominada app group container — foi criada pela Apple para permitir que aplicativos do mesmo desenvolvedor troquem dados entre si com eficiência. No caso do WhatsApp, pertencente à Meta, isso significa que o Facebook e o Instagram, também da Meta, têm acesso técnico a esse banco de dados e podem ler as conversas em texto puro, sem obstáculos.
Em demonstração publicada no X (antigo Twitter), os pesquisadores mostraram na prática como a leitura das mensagens é possível a partir de outro aplicativo Meta instalado no mesmo dispositivo.
2. Por que isso é um problema — mesmo com criptografia ponta a ponta?
O WhatsApp é amplamente reconhecido pelo uso de criptografia de ponta a ponta (E2EE), que protege as mensagens enquanto elas trafegam entre os dispositivos dos usuários pela internet. Nenhum intermediário — nem a própria Meta — pode interceptar o conteúdo das mensagens em trânsito.
O problema é que essa proteção termina quando a mensagem chega ao seu destino. Uma vez descriptografada no dispositivo, a mensagem precisa ser armazenada localmente para que o usuário possa acessá-la. E é exatamente aí que está a falha: ao invés de manter os dados criptografados no armazenamento local, o WhatsApp os grava em texto puro (plaintext).
A distinção é fundamental:
- Criptografia em trânsito (E2EE): protege a mensagem enquanto ela viaja pela rede. ✅
- Criptografia em repouso (at rest): protege a mensagem enquanto ela fica guardada no dispositivo. ❌ Ausente no WhatsApp para iOS e macOS.
3. Quais são os riscos concretos
A ausência de criptografia local, combinada com o acesso compartilhado entre aplicativos do mesmo grupo econômico, cria um conjunto de riscos que vão além do hipotético:
1. Acesso cruzado entre apps da Meta sem consentimento explícito – O design arquitetural atual permite que Facebook e Instagram leiam os dados do WhatsApp sem que o usuário seja informado ou possa impedir. Mesmo que a Meta não esteja fazendo isso ativamente, a possibilidade técnica já constitui um problema do ponto de vista da privacidade por design (privacy by design);
2. Extração forense em dispositivos comprometidos ou com jailbreak – Em dispositivos invadidos ou com jailbreak, qualquer aplicativo malicioso com acesso ao sistema de arquivos pode copiar o banco de dados “Axolotl.sqlite” e obter o histórico completo de conversas;
3. Riscos em ambientes corporativos e investigações – Em contextos profissionais, jurídicos e de saúde, onde o sigilo das comunicações é essencial, o armazenamento em texto puro representa uma exposição inaceitável;
4. Ameaças internas – A arquitetura permite que pessoas com acesso legítimo a um dos aplicativos da Meta possam, potencialmente, explorar os dados armazenados por outro aplicativo do mesmo grupo.
4. O que diz a LGPD
Sob a perspectiva da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), a situação levanta questões sérias:
Princípio da segurança (art. 6º, VII): A LGPD exige que os controladores adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. O armazenamento de mensagens — que contêm dados pessoais, e muitas vezes dados pessoais sensíveis — sem criptografia local parece incompatível com essa exigência;
Princípio da prevenção (art. 6º, VIII): As organizações devem adotar medidas para prevenir a ocorrência de danos antes que eles aconteçam. A opção arquitetural de não criptografar os dados em repouso é uma omissão preventiva;
Princípio da privacidade desde a concepção (privacy by design, art. 46, §2º): A LGPD determina que as medidas de segurança devem ser observadas desde a fase de concepção do produto. Um banco de dados de mensagens projetado para ser acessível a outros aplicativos do mesmo grupo, sem criptografia, é o oposto desse princípio;
Transparência e consentimento (arts. 6º, VI e 7º): Os usuários do WhatsApp no Brasil não são informados, de forma clara e destacada, que seus dados podem ser acessados por outros aplicativos do mesmo grupo econômico. Essa omissão compromete a qualidade do consentimento prestado.
5. Medidas recomendadas aos usuários
Enquanto uma solução definitiva não é implementada pela Meta, os pesquisadores da Mysk e especialistas em segurança recomendam:
Utilizar senhas fortes e autenticação biométrica nos dispositivos;
Evitar instalar todos os aplicativos da Meta no mesmo dispositivo, especialmente em contextos profissionais sensíveis;
Em ambientes corporativos, adotar soluções de gerenciamento de dispositivos móveis (MDM) que restrinjam o compartilhamento entre aplicativos;
Manter iOS, MacOS e o próprio WhatsApp sempre atualizados;
Para comunicações de alta confidencialidade, avaliar o uso de aplicativos de mensagens com criptografia local comprovada, como o Signal.
6. Posicionamento do Instituto SIGILO
O Instituto SIGILO acompanha com atenção as implicações desta descoberta para os titulares de dados no Brasil. A ausência de criptografia em repouso em um dos aplicativos de mensagens mais utilizados do mundo, com mais de 163 milhões de usuários no Brasil, representa um potencial violação estrutural ao direito fundamental à proteção de dados pessoais, previsto no art. 5º, inc. LXXIX, da Constituição Federal.
O cenário descrito pelos pesquisadores da Mysk demonstra, mais uma vez, que a criptografia de ponta a ponta, isoladamente, não é suficiente para garantir a privacidade dos usuários. A proteção precisa ser integral, em trânsito e em repouso, e a arquitetura dos sistemas deve ser projetada para minimizar o acesso aos dados, não para facilitá-lo entre empresas do mesmo grupo econômico.
O Instituto SIGILO defende que a Autoridade Nacional de Proteção de Dados (ANPD) instaure procedimento de monitoramento sobre as práticas de armazenamento local de dados pelo WhatsApp e pelos demais aplicativos da Meta no Brasil, verificando a conformidade com os princípios e obrigações da LGPD.
Esta denúncia será investigada na perícia a ser realizada nos autos da Ação Civil Pública que o Instituto SIGILO move contra o Facebook e o WhatsApp na 7ª Vara Cível do Foro Central da Capital de São Paulo
Artigo original: “WhatsApp Chat Histories Stored Unencrypted on macOS and iOS”. Cyber Security News, 25 de maio de 2026.
Pesquisa: Mysk (@mysk_co) — publicada em 24 de maio de 2026 no X.
