Разработчики WhatsApp устранили уязвимость в версиях приложения для iOS и macOS. Ее использовали хакеры для установки шпионского ПО и проведения целевых атак.
Две недели назад Apple выпустила обновления iOS 16.8.2, iPadOS 16.8.2, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 и macOS Ventura 13.7.8 для устранения уязвимости нулевого дня с идентификатором CVE-2025-43300. Компания признала, что этот эксплойт мог использоваться в крайне сложных атаках против отдельных жертв.
Apple не раскрыла подробностей, но WhatsApp заявил, что злоумышленники совмещали этот баг на уровне ОС с уязвимостью в самом мессенджере. Проблема безопасности CVE-2025-55177, уже исправленная разработчиками WhatsApp, заключалась в некорректной авторизации синхронизационных сообщений привязанных устройств. Это позволяло запускать обработку контента с произвольных URL на устройстве жертвы. Так как это была атака нулевого взаимодействия, пользователю не нужно было ничего нажимать или открывать. Хакеры эксплуатировали обе уязвимости, чтобы взломать устройства и похитить данные, включая переписку.
Под угрозой оказались следующие версии приложений:
- WhatsApp для iOS до v25.21.73
- WhatsApp Business для iOS до v2.25.21.78
- WhatsApp для Mac до v2.25.21.78
WhatsApp отметил, что уязвимость выявили и устранили его собственные специалисты по безопасности.
Доннха О’Кервайлл (Donncha O Cearbhaill), глава лаборатории безопасности Amnesty International, назвал атаку «продвинутой кампанией со шпионским ПО», которая велась более 90 дней, начиная с конца мая. Неизвестно, кто именно стоял за атакой.
Представитель Meta* Маргарита Франклин (Margarita Franklin) подтвердила, что уязвимость была обнаружена и устранена несколько недель назад. Пострадало менее 200 пользователей, которых компания уведомила лично.
* Компания признана экстремистской организацией и запрещена в РФ
Подобные кампании против WhatsApp не новы. Ранее в этом году мессенджеру удалось сорвать атаку со шпионским ПО Paragon, нацеленной на журналистов и представителей гражданского общества в Италии. В 2019 году WhatsApp подал в суд на NSO Group, создателя Pegasus, после атак на более чем 1400 пользователей. В мае 2024 года суд в США обязал NSO выплатить WhatsApp 167 млн долларов компенсации.
Угрозы безопасности
• Хакеры заявляют об утечке данных 5,5 миллиона пользователей Discord. Компания подтверждает компрометацию 70 000 аккаунтов
• Поддельные страницы сервиса itch.io крадут аккаунты геймеров и устанавливают вредоносное ПО
• Google не будет исправлять атаку ASCII Smuggling в Gemini — уязвимы также DeepSeek и Grok
• Steam и Microsoft предупреждают об уязвимости в Unity, которая подвергает геймеров риску атак
• Discord подтвердил утечку данных через стороннего подрядчика: украдены личные данные и изображения удостоверений личности
• Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows