WhatsApp виправив критичну вразливість нульового кліка у додатках для iOS та Mac, яка дозволяла проводити складні шпигунські атаки на конкретних користувачів протягом останніх трьох місяців.
Вразливість, зареєстрована як CVE-2025-55177, використовувалася разом із проблемою безпеки операційної системи Apple для компрометації пристроїв та крадіжки конфіденційних даних, включно з приватними повідомленнями.
Meta підтвердила, що виявила й усунула вразливість «кілька тижнів тому» та надіслала сповіщення «менш ніж 200» постраждалим користувачам WhatsApp. Компанія охарактеризувала атаки як такі, що спрямовані на «конкретних цільових користувачів» через zero-click експлойт, який не вимагав жодних дій від жертв для компрометації їхніх пристроїв.
Технічні деталі атаки
Вразливість стосувалася неповної авторизації повідомлень синхронізації пов’язаних пристроїв у WhatsApp, дозволяючи зловмисникам ініціювати обробку контенту з довільних URL-адрес на цільових пристроях. Дослідники безпеки зазначили, що цю проблему використовували разом із вразливістю Apple CVE-2025-43300 — проблемою у фреймворку ImageIO, яку Apple виправила 20 серпня.
Доннха О’Карбайлл, керівник лабораторії безпеки Amnesty International, охарактеризував кампанію як «розвинену шпигунську кампанію», яка була активною приблизно 90 днів, починаючи з кінця травня 2025 року. Метод атаки дозволяв компрометувати як iOS, так і Mac пристрої через інфраструктуру повідомлень WhatsApp.
Згідно з консультативним повідомленням WhatsApp щодо безпеки, вразливість впливала на WhatsApp для iOS версій до 2.25.21.73, WhatsApp Business для iOS версій до 2.25.21.78 та WhatsApp для Mac версій до 2.25.21.78. Компанія оцінила, що вразливість «могла бути експлуатованою в складній атаці проти конкретних цільових користувачів».
Реакція компанії та сповіщення користувачів
WhatsApp надіслав попередження про загрози постраждалим користувачам, повідомивши їх про те, що їхні пристрої «можуть залишатися скомпрометованими шкідливим програмним забезпеченням або стати об’єктами інших атак». У сповіщеннях користувачам радили виконати скидання до заводських налаштувань на своїх пристроях як запобіжний захід та підтримувати операційні системи в оновленому стані.
Оприлюднення цієї інформації відбувається на тлі триваючої боротьби WhatsApp з індустрією комерційного шпигунського програмного забезпечення. Раніше цього року федеральне журі наказало ізраїльській компанії NSO Group виплатити Meta 167 мільйонів доларів компенсації за атаки на понад 1400 користувачів WhatsApp за допомогою шпигунської програми Pegasus у 2019 році. Рішення суду стало значною перемогою для захисників приватності в тривалій боротьбі проти зловживань технологіями стеження.
WhatsApp також зупинив інші шпигунські кампанії цього року, включно з окремою zero-click атакою компанії Paragon Solutions, яка була спрямована приблизно на 90 журналістів та активістів у понад 20 країнах з використанням шкідливих PDF-файлів, надісланих через групи WhatsApp.
Читате також: Чому щоденне перезавантаження телефону — ваш найкращий захист від атак нульового кліка
Висновки
Останнє розкриття інформації про вразливість підкреслює постійну загрозу з боку zero-click експлойтів, які експерти з безпеки вважають одними з найнебезпечніших форм кібератак через їхню здатність компрометувати пристрої без будь-якої взаємодії з користувачем.
Хоча поточна атака, схоже, мала вузьку спрямованість, інцидент висвітлює триваючу гру в «кота та мишу» між платформами обміну повідомленнями та складними зловмисниками, які прагнуть експлуатувати інструменти комунікації для цілей стеження.
