- Chyba typu „zero-click“ zneužitá spolu so zraniteľnosťou Apple CVE-2025-43300 na zacielenie na cielených používateľov.
- WhatsApp opravil opravu CVE-2025-55177; Apple vydal aktualizácie pre iOS a macOS.
- Kampaň trvajúca približne 90 dní a zameraná na menej ako 200 ľudí, väčšinou na iPhonoch.
- Odporúča sa aktualizovať teraz, zvážiť obnovenie továrenských nastavení a povoliť pokročilé bezpečnostné opatrenia.
Po cielenom útoku s vysokou presnosťou vydala spoločnosť WhatsApp záplatu a žiada všetkých používateľov, aby... aktualizujte aplikáciu čo najskôrKampaň využila zraniteľnosť typu „nulový klik“, schopný ohroziť zariadenia len prijatím škodlivej správy.
Spoločnosť vysvetľuje, že jej vnútorné zlyhanie spojené s Zraniteľnosť systému Apple (CVE-2025-43300), by sa mohli použiť pri sofistikovaných útokoch proti cieleným osobám s cieľom získať prístup k ich počítačom a uloženým údajom.
Čo sa stalo a ako to bolo zneužité
Chyba WhatsApp, identifikovaná ako CVE-2025 55177,, nachádzal sa v synchronizácii účtov medzi prepojenými zariadeniami a mohol vynútiť spracovanie obsahu z Ľubovoľné adresy URL na počítači obete bez nutnosti interakcie.
Podľa výskumníka Donncha Ó Cearbhaill (Amnesty International), kampaň trvala približne 90 dní a ovplyvnila malý počet ľudí –menej ako 200 cieľov—, najmä s iPhonom, hoci boli zaznamenané ojedinelé pokusy aj na Androide.
WhatsApp tvrdí, že zaviedol zmeny na blokovanie tohto vektora na svojej platforme a Apple vydal záplaty pre iOS a macOS; napriek tomu spoločnosť varuje, že operačný systém by stále mohol byť ohrozený ak malvér pretrváva.
Opravené verzie a rozsah
Oprava je teraz k dispozícii na WhatsApp pre iOS (v2.25.21.73)v WhatsApp Business pre iOS (v2.25.21.78) a WhatsApp pre Mac (v2.25.21.78)Rozhodnutie získalo v hodnotení 8.0. CVSS (CISA-ADP) a 5.4 v internom hodnotení spoločnosti Meta.
Útok kombinoval narušenie WhatsAppu s chybou Apple (CVE-2025-43300) v frameworku ImageIO –písanie mimo hraníc pri liečbe manipulované obrázky— čo umožňuje narušenie na vysokej úrovni pri vykonávaní kódu. Ide o typ techniky spájanej s vládny špionážny softvér, často citovaný spolu s prípadmi ako Pegasus alebo Predátor.
Ako sa chrániť a aktualizovať teraz
Ak ste v aplikácii dostali upozornenie, najdôraznejšie odporúčanie je vykonať úplné obnovenie továrenských nastavení a potom aktualizujte systém aj aplikácie. Na zvýšenie ochrany WhatsApp a bezpečnostní experti odporúčajú povoliť Režim uzamknutia v systéme iOS o la Rozšírená ochrana v systéme Android.
Ak chcete udržiavať aplikáciu na odosielanie správ v iPhone aktuálnu, postupujte podľa týchto krokov: jednoduché kroky:
- Otvor App Store a klepnite na svoj profil (vpravo hore).
- Potiahnutím prsta zobrazíte zoznam aplikácií a vyhľadáte WhatsApp.
- lis aktualizovať ak sa zdá byť k dispozícii; ak nie, vyhľadajte „WhatsApp“ a skontrolujte najnovšiu verziu.
- V nastaveniach iPhonu zapnite automatické aktualizácie pre aplikácie a pre iOS.
- Po aktualizácii reštartujte zariadenie, aby ste sa uistili, že aplikácia náplasti.
Základné opatrenia odporúčané pre všetkých používateľov, aj keď nedostali oznámenie, aby znížiť expozíciu:
- Okamžite aktualizujte WhatsApp v systémoch iOS a macOS až po opravené verzie.
- udržiavať Aktualizované systémy iOS, iPadOS a macOS, s použitím najnovších bezpečnostných aktualizácií od spoločnosti Apple.
- Vykonajte periodický reset zariadenia, užitočné proti určitým zero-day exploitom.
- Activar la dvojstupňové overenie na WhatsApp a pridajte ďalšiu vrstvu.
Keďže vektor je v aplikácii zablokovaný a na systémoch Apple sú už dostupné záplaty, prioritou je aktualizovať bez oneskorenia a uplatňovať osvedčené postupy: hoci útok bol obmedzený rozsahom a veľmi cielený, jeho sofistikovanosť – zero-click a reťazenie zraniteľností – si vyžaduje obozretnosť a zariadenia za deň.
