A WhatsApp sürgős biztonsági javításokat adott ki, hogy kezelje a frissen felfedezett 0-day sebezhetőséget iOS és macOS alkalmazásaiban. A hibát már aktívan kihasználták célzott kibertámadások során.
A sebezhetőség azonosítója: CVE-2025-55177, amely több WhatsApp-verziót is érintett:
- WhatsApp for iOS a 2.25.21.73 verzió előtt
- WhatsApp Business for iOS a 2.25.21.78 verzió előtt
- WhatsApp for Mac a 2.25.21.78 verzió előtt
A sebezhetőség részletei
A vállalat biztonsági közleménye szerint a hiba a kapcsolt eszközök szinkronizációs üzeneteinek hiányos jogosultság-ellenőrzéséből adódott. Ez lehetővé tette, hogy egy támadó – a felhasználó interakciója nélkül – tetszőleges URL-t futtasson közvetlenül az áldozat eszközén.
Ez a támadási forma ún. „zero-click” exploit, vagyis a felhasználónak nem kell megnyitnia üzenetet vagy rákattintania linkre, hogy a támadás sikeres legyen.
A WhatsApp szerint a hiba összekapcsolható az Apple CVE-2025-43300 sebezhetőségével, amelyet az iOS és macOS rendszerekben fedeztek fel, és amelyet az Apple nemrég sürgősen javított. Az Apple ezt a hibát egy „rendkívül kifinomult” kémprogram-kampány részeként jellemezte.
Kémprogram telepítésének bizonyítékai
Bár a WhatsApp és az Apple sem közölt teljes technikai részleteket, a kezdeti jelek szerint a sérülékenységet célzott támadásokban használták, nem pedig széles körben.
Az Amnesty International Security Lab megerősítette, hogy a WhatsApp fenyegetési értesítéseket küldött több olyan személynek, akiket valószínűleg célzottan támadtak.
„Az elmúlt 90 napban a WhatsApp figyelmeztette azokat a felhasználókat, akiket egy kifinomult kémprogram-kampány célzott meg” – mondta Donncha Ó Cearbhaill, az Amnesty Security Lab vezetője.
A figyelmeztetések hangsúlyozták, hogy bár a WhatsApp lezárta az exploit útját, a támadók kártevői az operációs rendszer szintjén továbbra is jelen lehetnek. Ezért a WhatsApp azt javasolta az érintett felhasználóknak, hogy végezzenek gyári visszaállítást, és frissítsék eszközeiket a legújabb OS- és alkalmazásverziókra.
Ismétlődő támadási minta WhatsApp ellen
Ez nem az első alkalom, hogy a WhatsApp-ot kémprogramok célpontjaként használták. 2025 márciusában a vállalat egy másik 0-day hibát javított, amelyet a Graphite spyware terjesztésére használtak. Ezt a kampányt a Toronto-i Egyetem Citizen Lab kutatói fedezték fel, és főként újságírókat, aktivistákat és civil szervezeti tagokat céloztak vele.
A biztonsági szakértők hangsúlyozzák: ezek a támadások nem véletlenszerű kibertámadások, hanem nagy valószínűséggel államilag támogatott megfigyelési műveletek. Egy zero-click exploit kifejlesztése vagy megvásárlása több millió dollárba kerül a feketepiacon, így átlagos hackerek számára elérhetetlen.
A kémprogramokat gyakran kereskedelmi beszállítók – jellemzően Izraelben, Európában vagy az Egyesült Államokban – értékesítik kormányoknak, akik célzottan vetik be azokat. Az áldozatok között újságírók, ellenzéki politikusok, jogvédők és ügyvédek szerepelnek, különösen olyan országokban, ahol a sajtószabadság és a polgári jogok veszélyben vannak.
Mit tehetnek a felhasználók?
A legtöbb hétköznapi WhatsApp-felhasználó esetében nincs bizonyíték széles körű támadásra. Ugyanakkor az eset fontos tanulságokat hordoz:
- Frissíts azonnal – telepítsd a legújabb WhatsApp és iOS/macOS verziókat.
- Gyári visszaállítás – akiket fenyegetési értesítés ért el, azok számára ez lehet az egyetlen mód a tartós kártevők eltávolítására.
- Tájékozódj folyamatosan – az újságírók, aktivisták és más veszélyeztetett csoportok maradjanak éberek a célzott kémprogram-kampányokkal szemben, és fontolják meg az Apple Lockdown Mode használatát.
Következtetés
A CVE-2025-55177 felfedezése jól mutatja, mennyire kifinomultak lettek az államilag támogatott kémprogram-támadások. A támadók több 0-day hibát is összekapcsolnak – például a WhatsApp és az iOS/macOS rendszerek sebezhetőségeit – hogy teljes mértékben észrevétlenül kompromittálják az eszközöket.
A szakértők hangsúlyozzák, hogy az ilyen exploitok költségesek és ritkák, tömeges támadásokra nem használják őket. Ehelyett kifejezetten nagy értékű célpontok ellen vetik be, mint például újságírók, emberi jogi aktivisták, kormányzati tisztviselők vagy politikai ellenzékiek.
A hétköznapi felhasználók számára a legfontosabb védelem továbbra is az, hogy mindig naprakészen tartsák az alkalmazásaikat és az operációs rendszert, mivel a biztonsági javítások sokszor az egyetlen akadályt jelentik a támadásokkal szemben.
