WhatsApp zero-click sérülékenység
Az WhatsApp sürgősen kiadott egy frissítést iOS és macOS felhasználók számára, miután egy zero-click biztonsági hibát fedeztek fel, amelyet állítólag egy kifinomult kémprogram kampány használt ki
A sebezhetőség, CVE-2025-55177, a linked device synchronization üzenetek nem megfelelő jogosultságkezelésére vezethető vissza. Ez lehetővé tehette, hogy a támadók arra kényszerítsék a célzott eszközt, hogy automatikusan feldolgozzon egy rejtett külső URL-t, így bekapcsolva az esetleges kémtevékenységet. Ráadásul a WhatsApp belső elemzése szerint ez a sebezhetőség egy másik, korábban bejelentett Apple platform-specifikus hibával, CVE-2025-43300 (ImageIO keretrendszerben található memória-korrupciós hiba) együtt került kihasználásra egy célzott támadásban
A WhatsApp megerősítette, hogy kevesebb mint 200 felhasználót érinthetett globálisan a támadás, amelyet elsősorban civil szervezetekhez köthető személyek – például újságírók és jogvédők – ellen hajtottak végre. Az Amnesty International Security Lab is részt vett a vizsgálatban.
A sérülés elleni védelmi lépések között szerepel a teljes eszköz alaphelyzetbe állítása (factory reset), valamint a WhatsApp és az operációs rendszer naprakész frissítése.
Ez a támadás különösen veszélyes, mert egyetlen kattintás vagy interakció nélkül is lehetővé tétele végezhető el, ezzel gyakorlatilag elkerülve a felhasználói gyanakvást. Az ilyen zero-click támadások kimondottan kedveltek hírszerző szervezetek körében, mivel láthatatlanok maradnak a felhasználó előtt.
