Уязвимость WhatsApp 0-Day использовалась для атак на пользователей iOS и macOS

WhatsApp устранил критическую уязвимость нулевого дня (CVE-2025-55177), позволявшую проводить атаки шпионского ПО без нажатия на кнопки мыши на пользователей iOS и Mac. Эта уязвимость использовалась для кражи данных. Обновите приложение прямо сейчас, чтобы оставаться в безопасности.

WhatsApp сообщил, что устранил серьезную уязвимость безопасности в своих приложениях для устройств Apple, которая использовалась для тайного взлома iPhone и Mac «определенных целевых пользователей».

Ошибка, обозначенная как CVE-2025-55177 , была обнаружена внутренней службой безопасности WhatsApp. В официальном сообщении компании пояснили, что уязвимость является частью сложной цепочки атак, связывающей две отдельные уязвимости. Это метод атаки с нулевым кликом, при котором жертве не требуется нажимать на ссылку, открывать файл или выполнять какие-либо другие действия для взлома устройства.

В сообщении поясняется, что сама уязвимость представляла собой случай «неполной авторизации сообщений синхронизации связанных устройств». Это позволяло стороннему пользователю принудительно обрабатывать контент с вредоносного веб-адреса на устройстве жертвы.

В сочетании с другой уязвимостью Apple, CVE-2025-43300 (которую Apple уже исправила), в обработке изображений эта цепочка атак может быть использована для установки вредоносной программы и кражи данных без какого-либо взаимодействия с пользователем. Стоит отметить, что уязвимость затрагивает WhatsApp для iOS до версии 2.25.21.73, WhatsApp Business для iOS до версии 2.25.21.78 и WhatsApp для Mac до версии 2.25.21.78. WhatsApp подтвердил, что отправил уведомления «менее 200» пользователям, которые, по его мнению, были затронуты.

Согласно заявлению Национального агентства кибербезопасности (NCSA) Катара, серьезность этой уязвимости кроется в механизме обработки сообщений синхронизации между связанными устройствами, что может позволить хакеру получить первоначальный доступ к устройству жертвы.

Лаборатория безопасности Amnesty International под руководством Доннчи О’Сирбхейл описала эти два уязвимости как «продвинутую кампанию шпионского ПО», которая атаковала пользователей в течение последних 90 дней, то есть с конца мая, и могла похитить данные с устройства пользователя, включая сообщения. В публикации на X Сирбхейл также поделился необходимыми советами, посоветовав обновить свои устройства или выполнить сброс настроек к заводским.

Хотя пока неясно, кто стоит за этой последней атакой, это не первый случай, когда пользователи WhatsApp подвергаются атакам со стороны продвинутого шпионского ПО. В 2019 году мессенджер подал в суд на производителя шпионского ПО NSO Group за хакерскую кампанию, в результате которой были скомпрометированы более 1400 пользователей с помощью шпионского ПО Pegasus. Позднее суд США обязал компанию выплатить WhatsApp 167 миллионов долларов в качестве компенсации ущерба.

Этот новый инцидент демонстрирует сохраняющуюся угрозу со стороны правительственного шпионского и вредоносного ПО. Он также подчёркивает, почему пользователям следует всегда обновлять свои приложения и операционные системы, поскольку эти обновления часто содержат критически важные исправления безопасности для защиты от подобных изощрённых атак.