Компания WhatsApp сообщила в пятницу, что устранила уязвимость в своих приложениях для iOS и macOS, которая использовалась для скрытого взлома устройств Apple у ограниченного круга пользователей. Согласно опубликованному уведомлению о безопасности, уязвимость получила идентификатор CVE-2025-55177 и эксплуатировалась совместно с другой уязвимостью в системах iOS и macOS, зарегистрированной как CVE-2025-43300, которую Apple устранила на прошлой неделе.
Apple охарактеризовала данную уязвимость как часть «высокотехнологичной атаки», направленной на конкретных пользователей. По текущим данным, в результате использования этих двух уязвимостей были атакованы десятки пользователей WhatsApp.
Руководитель Лаборатории безопасности Amnesty International Доннча О’Кервайл описал инцидент как «кампанию по распространению сложного шпионского ПО», которая длилась около 90 дней, начиная с конца мая. Он отметил, что атака была «без взаимодействия» (zero-click), то есть не требовала от пользователя каких-либо действий, например, перехода по ссылке, для компрометации устройства.
Комбинированное использование двух уязвимостей позволяло злоумышленникам доставлять вредоносный код через WhatsApp, способный извлекать данные с устройств Apple. Согласно уведомлению, направленному пострадавшим пользователям, атака могла привести к компрометации устройства и содержащихся на нём данных, включая сообщения.
На момент публикации не установлено, кто именно или какая компания-разработчик шпионского ПО стоит за данной атакой. Представитель Meta Маргарита Франклин подтвердила в комментарии для TechCrunch, что уязвимость была обнаружена и устранена «несколько недель назад», и что уведомления были направлены «менее чем 200» пользователям WhatsApp. При этом компания не предоставила информацию о наличии доказательств, позволяющих идентифицировать конкретного злоумышленника или поставщика шпионского ПО.
Это не первый случай, когда пользователи WhatsApp становятся объектом атак с использованием правительственного шпионского ПО — разновидности вредоносного программного обеспечения, способного проникать в устройства с актуальными обновлениями, используя так называемые «нулевые дни» (zero-day).
В мае суд США обязал компанию NSO Group выплатить WhatsApp $167 млн в качестве компенсации за кампанию взлома в 2019 году, в ходе которой были атакованы более 1400 пользователей с помощью эксплойта, распространявшего шпионское ПО Pegasus. WhatsApp инициировала судебное разбирательство, ссылаясь на нарушение федерального и местного законодательства о взломе, а также собственных условий использования.
Ранее в этом году WhatsApp также пресекла шпионскую кампанию, направленную против около 90 пользователей, включая журналистов и представителей гражданского общества в Италии. Правительство Италии отрицало свою причастность к инциденту. Компания Paragon, чьё программное обеспечение использовалось в атаке, впоследствии прекратила поставки своих инструментов в Италию из-за отсутствия расследования злоупотреблений.
Оригинал
Уникальность
