ANECT a.s.WhatsApp opravil „zero-click“ zranitelnost využívanou v útocích na iOS a macOS
Zpět na blog8. 9. 2025
Aplikace WhatsApp pro iOS a macOS obsahovala vážnou bezpečnostní zranitelnost, která podle společnosti Meta mohla být zneužita v rámci cílených špionážních útoků. Zranitelnost CVE-2025-55177 mohla umožnit vzdálenému útočníkovi spustit škodlivý kód na zařízení oběti bez jakékoliv interakce – tedy šlo o tzv. zero-click útok.
Zranitelnost objevil interní tým WhatsApp Security a dočkala se opravy v následujících verzích WhatsApp pro iOS: verze 2.25.21.73 (záplata vydaná 28. července 2025), WhatsApp Business pro iOS: verze 2.25.21.78 (záplata 4. srpna 2025) a WhatsApp pro macOS: verze 2.25.21.78 (záplata 4. srpna 2025).
Chyba spočívala v nedostatečném ověření oprávnění při synchronizaci zpráv mezi zařízeními, což potenciálně umožňovalo útočníkovi spustit zpracování obsahu z libovolné URL na cílovém zařízení.
Meta potvrdila, že zranitelnost mohla být zneužita v kombinaci s další vážnou chybou v systému Apple (CVE-2025-43300), která umožňuje narušení paměti při zpracování škodlivého obrázku přes framework ImageIO. Tato kombinace tvoří prostředí pro vysoce sofistikovaný útok, který se mohl obejít bez jakékoliv akce ze strany uživatele.
Reálné zneužití a cílené oběti
Organizace Amnesty International potvrdila, že WhatsApp rozeslal varování menšímu počtu uživatelů – přibližně do 200 osob, které byly pravděpodobně cílem tohoto pokročilého útoku během posledních 90 dní. Podle Donnchy Ó Cearbhailla, šéfa Security Lab Amnesty International, byli mezi cíli i novináři a obránci lidských práv.
WhatsApp v oznámení doporučuje postiženým uživatelům provést kompletní tovární reset zařízení a aktualizovat operační systém i samotnou aplikaci WhatsApp.
Zatím není jasné, která konkrétní skupina za útoky stojí, ale typ použitých technik silně naznačuje státem sponzorovanou špionážní kampaň.
Kontext a bezpečnostní dopady
Útoky typu zero-click patří mezi nejnebezpečnější, protože k jejich aktivaci není nutná žádná akce ze strany uživatele – útočník pouze využije zranitelnosti v aplikaci, která zpracovává externí vstupy na pozadí (například obrázky nebo zprávy). V minulosti se podobné metody objevily v souvislosti s útoky využívajícími nástroje jako Pegasus.
Zranitelnosti jako CVE-2025-55177 a CVE-2025-43300 ukazují, že i legitimní a důvěryhodné komunikační aplikace mohou být cílem špionážních kampaní, a že zabezpečení osobních zařízení je zcela zásadní.
Zdroj: The Hacker News
Zdroj ilustračního obrázku: photo by Dimitri Karastelev on Unsplash