Мессенджер WhatsApp, принадлежащий компании Meta, сообщил об устранении опасной уязвимости в своих приложениях для iOS и Mac, которая позволяла злоумышленникам дистанционно взламывать устройства Apple отдельных целевых пользователей.
Об этом сообщает ProIT
Детали уязвимости и механизм атаки
В компании отметили, что исправили баг, известный под кодом CVE-2025-55177. Эта уязвимость использовалась в связке с другой проблемой в iOS и Mac (CVE-2025-43300), которую Apple исправила на прошлой неделе. По словам Apple, эта комбинация ошибок позволяла осуществлять «крайне сложные атаки против конкретных лиц».
Руководитель отдела безопасности Amnesty International Доннча О’Кервайлл назвал этот случай «кампанией передового шпионского программного обеспечения», которая продолжалась последние 90 дней, начиная с конца мая. Он подчеркнул, что речь идет о «zero-click» атаке — то есть пользователю даже не нужно было нажимать на ссылку или взаимодействовать с сообщением для заражения устройства.
Атака позволяла «скомпрометировать ваш устройство и все данные, которые на нем хранятся, включая сообщения».
Согласно сообщениям, эти две уязвимости вместе позволяли хакерам отправлять через WhatsApp вредоносный эксплойт, который мог получить доступ к данным пользователя на устройстве Apple.
Масштаб проблемы и предыдущие инциденты
Пока неизвестно, кто именно стоит за этими атаками и какой именно производитель шпионского ПО был вовлечен. Представительница Meta Маргарита Франклін подтвердила, что компания обнаружила и ликвидировала уязвимость «несколько недель назад» и разослала менее 200 предупреждений пользователям WhatsApp, которые могли пострадать.
Это не первый случай, когда WhatsApp становится мишенью для государственного шпионского ПО, которое использует так называемые «нулевые дни» — неизвестные производителю уязвимости. В мае 2025 года суд США обязал разработчика шпионских программ NSO Group выплатить WhatsApp 167 миллионов долларов за кампанию взлома 2019 года, когда было скомпрометировано более 1 400 устройств пользователей мессенджера с помощью шпионской программы Pegasus.
Ранее в этом году WhatsApp также удалось остановить шпионскую кампанию, направленную против около 90 пользователей (включая журналистов и представителей гражданского общества) в Италии. Итальянское правительство опровергло свою причастность, а компания Paragon, чье шпионское ПО использовали, прекратила сотрудничество с Италией из-за отсутствия расследования злоупотреблений.