В WhatsApp закрыли опасную уязвимость, используемую в шпионских атаках

WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) устранил серьёзную дыру в своих приложениях для iOS и macOS. Проблема получила идентификатор CVE-2025-55177 и могла использоваться вместе с недавним багом в iOS (CVE-2025-43300) для проведения атак 0-day.

Суть бага в том, что сторонний пользователь мог заставить WhatsApp обработать данные с произвольного URL на устройстве жертвы.

В связке с уязвимостью в ОС от Apple это превращалось в настоящий 0-click сценарий — когда заражение происходит без кликов и действий со стороны пользователя.

Уязвимость затронула:

• WhatsApp для iOS до версии 2.25.21.73 (исправлено 28 июля 2025),
• WhatsApp Business для iOS до версии 2.25.21.78 (патч вышел 4 августа),
• WhatsApp для macOS до версии 2.25.21.78 (также закрыто 4 августа).

Meta (признана экстремистской и запрещена в России) подтвердила, что уязвимость фигурировала в реальных кибератаках. Amnesty International рассказала, что за последние 90 дней WhatsApp уведомил ряд пользователей, которые, скорее всего, стали целью шпионской кампании. Среди них — журналисты и представители гражданского общества.

Эксперты советуют тем, кто мог попасть под удар, сделать полный сброс устройства до заводских настроек, а также обязательно обновить операционную систему и приложение WhatsApp.

Пока непонятно, кто именно стоит за этой атакой, но всё указывает на использование коммерческого правительственного шпионского софта.