WhatsApp устранил уязвимость, которую использовали для взлома устройств Apple
WhatsApp сообщил в пятницу, что устранил уязвимость в своих приложениях для iOS и Mac, которую использовали для незаметного взлома устройств Apple у «конкретных целевых пользователей».
В сообщении о безопасности компания, принадлежащая Meta, заявила, что устранила уязвимость, официально известную как CVE-2025-55177. Она использовалась вместе с другой проблемой, обнаруженной в iOS и Mac, которую Apple устранила на прошлой неделе и обозначила как CVE-2025-43300.
Apple ранее сообщила, что уязвимость использовалась в «чрезвычайно изощрённой атаке на конкретных людей». Теперь стало известно, что десятки пользователей WhatsApp стали жертвами этой пары уязвимостей.
Доннча Ó Сирвайл, руководитель лаборатории безопасности Amnesty International, описал атаку в посте на X как «продвинутую кампанию шпионского ПО», которая нацелена на пользователей в течение последних 90 дней, или с конца мая. Он назвал пару уязвимостей «атакой без клика», то есть не требующей от жертвы каких-либо действий, например, нажатия на ссылку, для компрометации устройства.
Две уязвимости, объединённые вместе, позволяют злоумышленнику доставить вредоносное ПО через WhatsApp, способное украсть данные с устройства пользователя Apple.
По словам Ó Сирвайла, который опубликовал копию уведомления об угрозе, отправленного WhatsApp пострадавшим пользователям, атака могла «скомпрометировать ваше устройство и содержащиеся на нём данные, включая сообщения».
Пока неясно, кто стоит за атаками или какой поставщик шпионского ПО их осуществляет.
Представитель Meta Маргарита Франклин подтвердила TechCrunch, что компания обнаружила и устранила уязвимость «несколько недель назад» и отправила «менее 200» уведомлений пострадавшим пользователям WhatsApp. При этом она не сообщила, есть ли у WhatsApp доказательства, позволяющие связать взломы с конкретным злоумышленником или поставщиком средств слежения.
Это не первый случай, когда пользователи WhatsApp становятся мишенью правительственного шпионского ПО — вредоносного ПО, способного взламывать полностью обновлённые устройства с уязвимостями, неизвестными поставщику, так называемыми уязвимостями нулевого дня.
В мае суд США обязал компанию NSO Group, производителя шпионского ПО, выплатить WhatsApp 167 миллионов долларов в качестве компенсации за хакерскую кампанию 2019 года, в ходе которой были взломаны устройства более чем 1400 пользователей WhatsApp с помощью эксплойта, способного установить шпионское ПО Pegasus от NSO.
Ранее в этом году WhatsApp пресекла кампанию шпионского ПО, нацеленную примерно на 90 пользователей, включая журналистов и представителей гражданского общества в Италии. Итальянское правительство отрицало свою причастность к кампании слежки. Компания Paragon, чьё шпионское ПО использовалось в кампании, позже лишила Италию доступа к своим инструментам для взлома из-за неспособности расследовать злоупотребления.