WhatsApp на iPhone угоняли без кликов, кодов и привязанных устройств

WhatsApp на iPhone угоняли без кликов, кодов и привязанных устройств

WhatsApp на iPhone угоняли без кликов, кодов и привязанных устройств

У владельцев iPhone начали происходить странные вещи: их WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) сам писал контактам и просил перевести деньги. Пользователи лезли в раздел «Привязанные устройства», а там чисто. Никаких чужих сессий, никаких подозрительных входов, никаких QR-кодов. Просто аккаунт вроде ваш, телефон ваш, а сообщения пишет кто-то ещё.

Случаи изучила итальянская компания Forenser. По данным исследователей, речь может идти об активной кампании 0-click против пользователей iPhone с iOS 16 и определённой версией клиента WhatsApp.

То есть жертве не нужно было переходить по ссылке, сканировать код или подтверждать вход, атака проходила без участия пользователя.

У всех пострадавших была похожая картина: iPhone от 8-й модели до iPhone 14, установленная iOS 16 и сообщения с просьбами о переводах, отправленные последним контактам. Старые и архивные чаты злоумышленники, судя по всему, не видели.

Ключевая улика нашлась в логах WhatsApp: приложение постоянно выполняло синхронизацию, будто два клиента одновременно пытались удержать одну и ту же сессию. Один — настоящий телефон владельца. Второй — клиент атакующего, который не отображался как привязанное устройство.

Forenser связывает атаку с уязвимостью CVE-2025-43300 в ImageIO, которую Apple закрыла в августе 2025 года, и возможной связкой с уязвимостью в WhatsApp под идентификатором CVE-2025-55177.

В лаборатории исследователи смогли доказать, что после эксплуатации можно получить криптографический материал для запуска новой сессии WhatsApp на стороне атакующего.

Если есть подозрение на компрометацию, исследователи советуют обновить iOS и WhatsApp, переустановить мессенджер или заново пройти аутентификацию на новом устройстве. А если вам в WhatsApp пишет знакомый и внезапно просит перевод, не уточняйте в том же чате. Лучше позвоните напрямую: в переписке на той стороне может сидеть не он.

Японский школьник с ChatGPT уронил аниме-сервис и отменил 46 тыс. подписок

В Японии полиция задержала 15-летнего старшеклассника, которого подозревают в атаке на Bandai Channel — платный стриминговый сервис с аниме. По версии следствия, подросток нашёл уязвимость в серверах платформы и с её помощью отменил более 46 тысяч пользовательских подписок.

Полиция Токио считает, что школьник изучал сетевой трафик сервиса, нашёл слабое место и написал вредоносную программу для автоматизации атаки.

По данным следствия, для разработки он использовал ChatGPT. В ноябре 2025 года подросток якобы отправлял на серверы компании поддельные данные, из-за чего подписки массово слетали, а сам сервис пришлось временно остановить.

Сначала парня задержали в июне по подозрению во входе в Bandai Channel через чужую учётную запись. Но затем расследование вывело полицию на более крупный эпизод — ту самую атаку с десятками тысяч отменённых подписок.

Подросток признал обвинения. По данным полиции, он заявил, что не держал зла на компанию, сам учился программированию и просто любил анализировать сетевые коммуникации. Получилось, мягко говоря, слишком увлекательно.

Оператор Bandai Channel сообщал, что после инцидента платформу пришлось отключить более чем на месяц: компания чинила системы и возвращала деньги пострадавшим подписчикам. Когда специалисты заблокировали доступ подозреваемого, он, по версии полиции, продолжил атаку, меняя IP-адреса.

Компания обратилась в полицию ещё в ноябре. Следователи вышли на школьника после анализа коммуникационных записей.

RSS: Новости на портале Anti-Malware.ru