WhatsApp на iPhone угоняли без кликов, кодов и привязанных устройств

У владельцев iPhone начали происходить странные вещи: их WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) сам писал контактам и просил перевести деньги. Пользователи лезли в раздел «Привязанные устройства», а там чисто. Никаких чужих сессий, никаких подозрительных входов, никаких QR-кодов. Просто аккаунт вроде ваш, телефон ваш, а сообщения пишет кто-то ещё.

Случаи изучила итальянская компания Forenser. По данным исследователей, речь может идти об активной кампании 0-click против пользователей iPhone с iOS 16 и определённой версией клиента WhatsApp.

То есть жертве не нужно было переходить по ссылке, сканировать код или подтверждать вход, атака проходила без участия пользователя.

У всех пострадавших была похожая картина: iPhone от 8-й модели до iPhone 14, установленная iOS 16 и сообщения с просьбами о переводах, отправленные последним контактам. Старые и архивные чаты злоумышленники, судя по всему, не видели.

Ключевая улика нашлась в логах WhatsApp: приложение постоянно выполняло синхронизацию, будто два клиента одновременно пытались удержать одну и ту же сессию. Один — настоящий телефон владельца. Второй — клиент атакующего, который не отображался как привязанное устройство.

Forenser связывает атаку с уязвимостью CVE-2025-43300 в ImageIO, которую Apple закрыла в августе 2025 года, и возможной связкой с уязвимостью в WhatsApp под идентификатором CVE-2025-55177.

В лаборатории исследователи смогли доказать, что после эксплуатации можно получить криптографический материал для запуска новой сессии WhatsApp на стороне атакующего.

Если есть подозрение на компрометацию, исследователи советуют обновить iOS и WhatsApp, переустановить мессенджер или заново пройти аутентификацию на новом устройстве. А если вам в WhatsApp пишет знакомый и внезапно просит перевод, не уточняйте в том же чате. Лучше позвоните напрямую: в переписке на той стороне может сидеть не он.