Компания М⃰ выпустила экстренное обновление безопасности для WhatsApp, чтобы устранить критическую уязвимость (CVE-2025-55177), которая активно использовалась в целевых атаках типа "zero-click" против пользователей на платформах Apple iOS и macOS. Для компрометации устройств злоумышленники сочетали недостаток в мессенджере с отдельной уязвимостью в операционной системе Apple (CVE-2025-43300), что позволяло им получать доступ без какого-либо взаимодействия со стороны жертвы.
Уязвимость в WhatsApp, получившая идентификатор CVE-2025-55177, оценена в 8.0 балла по шкале CVSS. Её суть заключается в «недостаточной авторизации сообщений синхронизации связанных устройств». Эта ошибка позволяла злоумышленнику, которого в отчете называют «не связанным пользователем», инициировать обработку контента с произвольного URL-адреса на устройстве цели. Проблема была обнаружена и сообщена внутренними исследователями из команды безопасности WhatsApp.
Атака была комплексной и использовала не только ошибку в WhatsApp, но и уязвимость в операционных системах Apple — iOS, iPadOS и macOS. Эта уязвимость, зарегистрированная как CVE-2025-43300, была раскрыта Apple «на прошлой неделе». Она представляет собой ошибку типа «запись за пределами выделенного буфера памяти» во фреймворке ImageIO, которая может привести к повреждению памяти при обработке системой вредоносного изображения. Apple подтвердила, что этот недостаток был использован в «чрезвычайно изощренной атаке против конкретных целевых лиц».
Механизм атаки типа "zero-click" не требовал от жертвы никаких действий, таких как переход по ссылке или открытие файла. Уязвимость в WhatsApp служила точкой входа для доставки вредоносного изображения на устройство цели. Последующая обработка этого изображения операционной системой Apple приводила к срабатыванию уязвимости в ImageIO, что позволяло злоумышленникам скомпрометировать устройство.
По данным WhatsApp, атаки происходили в течение последних 90 дней, и их целью стало «неустановленное число лиц». Доннча О'Кербаль, руководитель Лаборатории безопасности Amnesty International, заявил, что «ранние признаки указывают на то, что атака затронула пользователей как iPhone, так и Android".
Целями атак стали «представители гражданского общества», что соответствует более широкой угрозе использования правительственного шпионского ПО против журналистов и правозащитников. Личности злоумышленников или конкретный поставщик шпионского программного обеспечения в настоящее время неизвестны.
WhatsApp оперативно устранила уязвимость, выпустив обновления для уязвимых версий приложений. Патчи включены в следующие версии: WhatsApp для iOS 2.25.21.73, WhatsApp Business для iOS 2.25.21.78 и WhatsApp для Mac 2.25.21.78.
Одновременно с выпуском исправлений компания начала рассылать уведомления пользователям, которые, по её мнению, стали целями шпионской кампании. Лицам, получившим такое предупреждение, настоятельно рекомендуется выполнить две ключевые процедуры: произвести полный сброс устройства до заводских настроек и постоянно поддерживать в актуальном состоянии как операционную систему, так и само приложение WhatsApp.
Изображение носит иллюстративный характер
Уязвимость в WhatsApp, получившая идентификатор CVE-2025-55177, оценена в 8.0 балла по шкале CVSS. Её суть заключается в «недостаточной авторизации сообщений синхронизации связанных устройств». Эта ошибка позволяла злоумышленнику, которого в отчете называют «не связанным пользователем», инициировать обработку контента с произвольного URL-адреса на устройстве цели. Проблема была обнаружена и сообщена внутренними исследователями из команды безопасности WhatsApp.
Атака была комплексной и использовала не только ошибку в WhatsApp, но и уязвимость в операционных системах Apple — iOS, iPadOS и macOS. Эта уязвимость, зарегистрированная как CVE-2025-43300, была раскрыта Apple «на прошлой неделе». Она представляет собой ошибку типа «запись за пределами выделенного буфера памяти» во фреймворке ImageIO, которая может привести к повреждению памяти при обработке системой вредоносного изображения. Apple подтвердила, что этот недостаток был использован в «чрезвычайно изощренной атаке против конкретных целевых лиц».
Механизм атаки типа "zero-click" не требовал от жертвы никаких действий, таких как переход по ссылке или открытие файла. Уязвимость в WhatsApp служила точкой входа для доставки вредоносного изображения на устройство цели. Последующая обработка этого изображения операционной системой Apple приводила к срабатыванию уязвимости в ImageIO, что позволяло злоумышленникам скомпрометировать устройство.
По данным WhatsApp, атаки происходили в течение последних 90 дней, и их целью стало «неустановленное число лиц». Доннча О'Кербаль, руководитель Лаборатории безопасности Amnesty International, заявил, что «ранние признаки указывают на то, что атака затронула пользователей как iPhone, так и Android".
Целями атак стали «представители гражданского общества», что соответствует более широкой угрозе использования правительственного шпионского ПО против журналистов и правозащитников. Личности злоумышленников или конкретный поставщик шпионского программного обеспечения в настоящее время неизвестны.
WhatsApp оперативно устранила уязвимость, выпустив обновления для уязвимых версий приложений. Патчи включены в следующие версии: WhatsApp для iOS 2.25.21.73, WhatsApp Business для iOS 2.25.21.78 и WhatsApp для Mac 2.25.21.78.
Одновременно с выпуском исправлений компания начала рассылать уведомления пользователям, которые, по её мнению, стали целями шпионской кампании. Лицам, получившим такое предупреждение, настоятельно рекомендуется выполнить две ключевые процедуры: произвести полный сброс устройства до заводских настроек и постоянно поддерживать в актуальном состоянии как операционную систему, так и само приложение WhatsApp.
