Вразливість WhatsApp, що не вимагає дій з боку користувача, була задіяна в цільових атаках

Компанія Meta повідомила, що вразливість у WhatsApp, яка не вимагає жодних дій з боку користувача, була використана в цілеспрямованих і складних атаках «нульового дня», звертає увагу Oberig IT. Уразливість (CVE-2025-55177 – оцінка CVSS:5,4) стосується WhatsApp для iOS до версії 2.25.21.73, WhatsApp Business для iOS v2.25.21.78 і WhatsApp для Mac v2.25.21.78. Ця вразливість може дозволити сторонньому користувачеві «ініціювати обробку контенту з довільної URL-адреси на пристрої жертви», йдеться в повідомленні WhatsApp.

WhatsApp надіслав повідомлення користувачам, які, на їхню думку, могли стати ціллю зловмисних повідомлень протягом останніх 90 днів. У попередженнях йшлося про те, що, хоча фахівці компанії не можуть з упевненістю сказати, які пристрої були скомпрометовані, вони надсилають попередження з міркувань крайньої обережності. Незважаючи на те що вразливість тепер усунена, вони також порадили отримувачам повідомлення, виконати повне скидання налаштувань пристрою до заводських налаштувань, оскільки «операційна система пристрою може залишатися скомпрометованою шкідливим ПЗ або піддаватися іншим видам атак».

Подібні вразливості, які не вимагають жодних дій з боку користувача, є особливо небезпечними. Такі вразливості зазвичай використовуються для встановлення шпигунського ПЗ на телефони жертв і, як правило, пов’язані з добре фінансованими зловмисниками, зокрема з групами, що спонсоруються державою.