Компания WhatsApp оперативно устранила уязвимость нулевого дня (zero-day) в своих приложениях для iOS и macOS, которую злоумышленники активно использовали для целевых атак. Ошибка, зарегистрированная как CVE-2025-55177, позволяла запускать обработку данных с произвольного URL на устройстве жертвы без её участия.

Детали уязвимости

Уязвимость затрагивала следующие версии WhatsApp:

• WhatsApp для iOS ниже 2.25.21.73

• WhatsApp Business для iOS версии 2.25.21.78

• WhatsApp для macOS версии 2.25.21.78

Проблема заключалась в неполной авторизации сообщений синхронизации привязанных устройств, что теоретически позволяло злоумышленнику инициировать обработку контента с внешнего источника на устройстве пользователя.

Отмечается, что в комбинации с уязвимостью CVE-2025-43300 на уровне iOS и macOS, атака могла быть использована против конкретных лиц в сложной кампании. В начале августа Apple уже выпустила экстренные обновления для устранения CVE-2025-43300, отметив, что уязвимость использовалась в «чрезвычайно изощрённой атаке».

Реакция WhatsApp и рекомендации пользователям

По словам Доннча Кервейла (Donncha Ó Cearbhaill) из Amnesty International, WhatsApp направляет уведомления некоторым пользователям, информируя их о возможной цели установки шпионского ПО в последние 90 дней. В уведомлениях компания уточняет, что внесла изменения, блокирующие эксплуатацию атаки через мессенджер.

Однако, даже после обновления WhatsApp, операционная система устройства могла оставаться уязвимой. Рекомендуемые меры:

• Выполнить полный сброс устройства до заводских настроек

• Обновить iOS/macOS и все приложения до актуальных версий

• Следить за уведомлениями WhatsApp о безопасности