O platformie WhatsApp pisaliśmy wielokrotnie. Dzisiaj mamy ku temu kolejny powód. WhatsApp udostępnił szczegóły dotyczące podatności typu zero-day, która została wykorzystana w kampanii szpiegującej, w ukierunkowanych atakach na użytkowników Apple.
Błąd oznaczony jako CVE-2025-55177 (wynik CVSS 5,4) jest opisywany jako „niepełna autoryzacja wiadomości synchronizacji połączonych urządzeń”. Atakujący mógł wykorzystać ten problem do uruchomienia przetwarzania treści z dowolnych adresów URL na urządzeniach ofiar – czytamy w ostrzeżeniu WhatsApp.
„Oceniamy, iż ta luka, w połączeniu z luką na poziomie systemu operacyjnego na platformach Apple (CVE-2025-43300), mogła zostać wykorzystana w wyrafinowanym ataku na określonych użytkowników docelowych” – informuje platforma.
CVE-2025-43300, załatany 20 sierpnia, to błąd zapisu poza zakresem, wpływający na komponent struktury ImageIO w produktach Apple iOS, iPadOS i macOS.
Gigant technologiczny z Cupertino usunął lukę w systemach iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 i macOS Ventura 13.7.8, nie udostępniając żadnych informacji technicznych na jej temat, ale ostrzegając przed jej aktywnym wykorzystaniem.
„Apple wie o zgłoszeniu, iż ta luka mogła zostać wykorzystana w niezwykle wyrafinowanym ataku na określone osoby” – poinformowało Apple.
Firma WhatsApp, która w lipcu i sierpniu załatała lukę CVE-2025-55177 w WhatsApp na iOS w wersji 2.25.21.73, WhatsApp Business na iOS w wersji 2.25.21.78 i WhatsApp na Maca w wersji 2.25.21.78, również nie udostępniła szczegółów dotyczących zaobserwowanych ataków.
Według Donnchy Ó Cearbhailla z Amnesty International podatności w zabezpieczeniach były powiązane z atakami typu zero-click, będącymi częścią podejrzewanej kampanii szpiegowskiej.
„Wstępne sygnały wskazują, iż atak WhatsApp dotyka zarówno użytkowników iPhone’ów, jak i Androida, w tym przedstawicieli społeczeństwa obywatelskiego. Rządowe oprogramowanie szpiegujące przez cały czas stanowi zagrożenie dla dziennikarzy i obrońców praw człowieka” – napisał Ó Cearbhaill na platformie X.
Biorąc pod uwagę, iż luka w zabezpieczeniach Apple wpływa na bibliotekę obrazów bazowych, atakujący mogli wykorzystać ją również dzięki innych aplikacji – twierdzi Ó Cearbhaill.
Oprócz wdrożenia poprawek dla luki zero-day WhatsApp wysłał powiadomienia do potencjalnie zaatakowanych osób. Jak poinformowała Meta w wywiadzie dla SecurityWeek, zawiadomienia wysłano do nie więcej niż dwustu osób.
„WhatsApp i urządzenia Apple to jedne z najpopularniejszych technologii na świecie, szczególnie wśród kadry kierowniczej wyższego szczebla. Ta popularność czyni je głównymi celami ataków. Atakujący wiedzą, iż jeżeli uda im się znaleźć sposób na włamanie, korzyści będą ogromne. Właśnie dlatego obserwujemy znaczące inwestycje ze strony przeciwników w odkrywanie luk typu zero-click, takich jak ta” – powiedział Adam Boynton, starszy menedżer ds. strategii bezpieczeństwa w Jamf.
2 września amerykańska agencja ds. cyberbezpieczeństwa CISA dodała lukę CVE-2025-55177 do swojego katalogu znanych luk wykorzystywanych przez użytkowników (KEV), wzywając agencje federalne do jej załatania w terminie do 23 września.
