Разработчики WhatsApp устранили уязвимость в версиях приложения для iOS и macOS. Ее использовали хакеры для установки шпионского ПО и проведения целевых атак.
Две недели назад Apple выпустила обновления iOS 16.8.2, iPadOS 16.8.2, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 и macOS Ventura 13.7.8 для устранения уязвимости нулевого дня с идентификатором CVE-2025-43300. Компания признала, что этот эксплойт мог использоваться в крайне сложных атаках против отдельных жертв.
Apple не раскрыла подробностей, но WhatsApp заявил, что злоумышленники совмещали этот баг на уровне ОС с уязвимостью в самом мессенджере. Проблема безопасности CVE-2025-55177, уже исправленная разработчиками WhatsApp, заключалась в некорректной авторизации синхронизационных сообщений привязанных устройств. Это позволяло запускать обработку контента с произвольных URL на устройстве жертвы. Так как это была атака нулевого взаимодействия, пользователю не нужно было ничего нажимать или открывать. Хакеры эксплуатировали обе уязвимости, чтобы взломать устройства и похитить данные, включая переписку.
Под угрозой оказались следующие версии приложений:
- WhatsApp для iOS до v25.21.73
- WhatsApp Business для iOS до v2.25.21.78
- WhatsApp для Mac до v2.25.21.78
WhatsApp отметил, что уязвимость выявили и устранили его собственные специалисты по безопасности.
Доннха О’Кервайлл (Donncha O Cearbhaill), глава лаборатории безопасности Amnesty International, назвал атаку «продвинутой кампанией со шпионским ПО», которая велась более 90 дней, начиная с конца мая. Неизвестно, кто именно стоял за атакой.
Представитель Meta* Маргарита Франклин (Margarita Franklin) подтвердила, что уязвимость была обнаружена и устранена несколько недель назад. Пострадало менее 200 пользователей, которых компания уведомила лично.
* Компания признана экстремистской организацией и запрещена в РФ
Подобные кампании против WhatsApp не новы. Ранее в этом году мессенджеру удалось сорвать атаку со шпионским ПО Paragon, нацеленной на журналистов и представителей гражданского общества в Италии. В 2019 году WhatsApp подал в суд на NSO Group, создателя Pegasus, после атак на более чем 1400 пользователей. В мае 2024 года суд в США обязал NSO выплатить WhatsApp 167 млн долларов компенсации.
Угрозы безопасности
• WhatsApp закрыл критическую уязвимость в приложениях для iOS и macOS
• Microsoft: Хакерская группировка Storm-0501 переключилась на вымогательские атаки в облачных средах
• ESET: Новый шифровальщик PromptLock использует ИИ для кражи и блокировки данных
• Исследователи нашли способ прятать вредоносные команды в уменьшенных изображениях для ИИ
• В Google Play удалены вредоносные Android-приложения с 19 млн загрузок
• Shamos: новый инфостилер маскируется под «исправления» для macOS