WhatsApp заявив, що виправив помилку безпеки у своїх додатках для iOS та Mac, яка використовувалася для прихованого злому пристроїв Apple «певних цільових користувачів».
Гігант месенджерів, що належить Meta, у своєму попередженні з безпеки заявив, що виправив уразливість, офіційно відому як CVE-2025-55177 , яка використовувалася разом з окремою вадою, виявленою в iOS та Mac, яку Apple виправила минулого тижня та відстежує як CVE-2025-43300 .
Apple тоді заявила, що цей недолік був використаний у «надзвичайно складній атаці проти конкретних цільових осіб». Тепер ми знаємо, що десятки користувачів WhatsApp стали мішенню цих двох недоліків.
Доннча О’Сірбхайл, яка очолює Лабораторію безпеки Amnesty International, описала атаку в дописі на X як «просунуту шпигунську кампанію», яка була спрямована на користувачів протягом останніх 90 днів, або з кінця травня. О’Сірбхайл описав пару помилок як атаку «нульового кліку», тобто вона не вимагає жодної взаємодії з боку жертви, як-от натискання посилання, для компрометації її пристрою.
Дві помилки, пов’язані разом, дозволяють зловмиснику розповсюдити шкідливий експлойт через WhatsApp, здатний викрасти дані з пристрою Apple користувача.
За словами О’Сірбхайля, який опублікував копію сповіщення про загрозу, яке WhatsApp надіслав постраждалим користувачам, атака змогла «скомпрометувати ваш пристрій та дані, що на ньому містяться, включаючи повідомлення».
Поки що незрозуміло, хто або який постачальник шпигунського програмного забезпечення стоїть за атаками.
Коли TechCrunch зв’язався з речницею Meta Маргаритою Франклін, вона підтвердила, що компанія виявила та виправила недолік «кілька тижнів тому», і що компанія надіслала «менш як 200» сповіщень постраждалим користувачам WhatsApp.
Речник не сказав, коли його запитали, чи має WhatsApp докази, що дозволяють приписати хакерам конкретного зловмисника або постачальника послуг спостереження.
Це не перший випадок, коли користувачі WhatsApp стають мішенню урядового шпигунського програмного забезпечення – виду шкідливого програмного забезпечення, здатного проникати в повністю пропатчені пристрої з вразливостями, невідомими постачальнику, відомими як недоліки нульового дня .
У травні суд США зобов’язав виробника шпигунського програмного забезпечення NSO Group виплатити WhatsApp 167 мільйонів доларів збитків за хакерську кампанію 2019 року, в результаті якої було зламано пристрої понад 1400 користувачів WhatsApp за допомогою експлойту, здатного встановити шпигунське програмне забезпечення Pegasus від NSO. WhatsApp подав позов проти NSO, посилаючись на порушення федеральних та державних законів про хакерство, а також власних умов надання послуг.
Раніше цього року WhatsApp перервав кампанію шпигунського програмного забезпечення , спрямовану на близько 90 користувачів, включаючи журналістів та членів громадянського суспільства по всій Італії. Італійський уряд заперечував свою причетність до шпигунської кампанії . Paragon, чиє шпигунське програмне забезпечення використовувалося в цій кампанії, пізніше відключив Італію від своїх хакерських інструментів за те, що вона не розслідувала зловживання.