Разработчики мессенджера устранили 0-day уязвимость в версиях для iOS и macOS. По данным компании, свежая проблема, наряду с недавно раскрытым Apple багом, могла использоваться в «сложных атаках, нацеленных против конкретных пользователей».
Уязвимость получила идентификатор CVE-2025-55177 и 8 баллов по шкале CVSS. Проблема связана с недостаточной авторизацией сообщений о синхронизации связанных устройств. Уязвимость обнаружили исследователи из внутренней команды безопасности WhatsApp.
В компании объяснили, что проблема «позволяла постороннему инициировать обработку контента с произвольного URL на устройстве жертвы».
Ошибка затрагивает следующие версии:
- WhatsApp для iOS версий до 2.25.21.73 (исправлено 28 июля 2025 года);
- WhatsApp Business для iOS версии 2.25.21.78 (исправлено 4 августа 2025 года);
- WhatsApp для Mac версии 2.25.21.78 (исправлено 4 августа 2025 года).
Разработчики полагают, что уязвимость могла использоваться в связке с 0-day уязвимостью CVE-2025-43300. Эта проблема, исправленная Apple в середине августа 2025 года, затрагивала iOS, iPadOS и macOS. Баг был найден во фреймворке Image I/O, который позволяет приложениям читать и записывать изображения в большинстве форматов.
В Apple сообщали, что эта zero-click проблема применялась в рамках сложных целевых атак против отдельных пользователей.
Специалисты Amnesty International сообщают, что представители WhatsApp уже уведомили около 200 человек о том, что в последние 90 дней они могли являться целями сложной кибершпионской кампании с использованием CVE-2025-55177.
В уведомлении, отправленном пострадавшим, разработчики рекомендовали выполнить полный сброс устройства до заводских настроек, а после поддерживать ОС и приложение WhatsApp в актуальном состоянии для оптимальной защиты.
В настоящее время не раскрывается, кто именно мог стоять за этой шпионской кампанией.