WhatsApp оголосив про виправлення вразливості безпеки в своїх додатках для iOS та Mac, яка могла бути використана для несанкціонованого доступу до пристроїв Apple «конкретно цільових користувачів».
Компанія Meta, яка володіє популярним месенджером, повідомила про усунення вразливості, відомої як CVE-2025-55177, яка використовувалася разом із окремим дефектом у iOS та Mac, усунутою Apple минулого тижня і позначеною як CVE-2025-43300.
Apple зазначила, що ця вразливість була використана в «надзвичайно складній атаці на конкретно цільових осіб». Зараз відомо, що десятки користувачів WhatsApp стали жертвами цієї парочки вразливостей.
Доннха О’Кервалл, керівник лабораторії безпеки Amnesty International, описав цю атаку в пості на X як «просунуту кампанію шпигунства», що проводилася проти користувачів протягом останніх 90 днів, починаючи з кінця травня. Кервалл назвав обидві вразливості «атакою з нульовим кліком», що означає, що вона не потребує жодної взаємодії з жертвою, наприклад, кліка по посиланню, для компрометації їхнього пристрою.
Поєднання цих двох вразливостей дозволяє зловмиснику надіслати шкідливий експлойт через WhatsApp, здатний красти дані з Apple пристрою користувача.
Згідно з О’Керваллом, який опублікував копію повідомлення про загрозу, надісланого WhatsApp постраждалим користувачам, атака могла «компрометувати ваш пристрій та дані, що містяться в ньому, включаючи повідомлення».
На даний момент неясно, хто саме або яка компанія зі створення програмного забезпечення стоїть за цими атаками.
У коментарі для видання Meta підтвердила, що виявила цю проблему і виправила її «декілька тижнів тому», додавши, що компанія надіслала «менше ніж 200» сповіщень постраждалим користувачам WhatsApp.
Прес-секретар не уточнив, чи є у WhatsApp докази, що вказують на конкретного зловмисника або постачальника шпигунського програмного забезпечення.