WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) устранил серьёзную дыру в своих приложениях для iOS и macOS. Проблема получила идентификатор CVE-2025-55177 и могла использоваться вместе с недавним багом в iOS (CVE-2025-43300) для проведения атак 0-day.
Суть бага в том, что сторонний пользователь мог заставить WhatsApp обработать данные с произвольного URL на устройстве жертвы.
В связке с уязвимостью в ОС от Apple это превращалось в настоящий 0-click сценарий — когда заражение происходит без кликов и действий со стороны пользователя.
Уязвимость затронула:
- WhatsApp для iOS до версии 2.25.21.73 (исправлено 28 июля 2025),
- WhatsApp Business для iOS до версии 2.25.21.78 (патч вышел 4 августа),
- WhatsApp для macOS до версии 2.25.21.78 (также закрыто 4 августа).
Meta (признана экстремистской и запрещена в России) подтвердила, что уязвимость фигурировала в реальных кибератаках. Amnesty International рассказала, что за последние 90 дней WhatsApp уведомил ряд пользователей, которые, скорее всего, стали целью шпионской кампании. Среди них — журналисты и представители гражданского общества.
Эксперты советуют тем, кто мог попасть под удар, сделать полный сброс устройства до заводских настроек, а также обязательно обновить операционную систему и приложение WhatsApp.
Пока непонятно, кто именно стоит за этой атакой, но всё указывает на использование коммерческого правительственного шпионского софта.
