Разработчики WhatsApp выпустили обновления для iOS и macOS, устраняющие 0‑day уязвимость CVE-2025-55177, о которой сообщается как об используемой в сложных целевых атаках. По данным компании, баг затрагивал механизм синхронизации связанных устройств и имел оценку CVSS 8.0, что указывает на высокую критичность.
Что именно исправлено: уязвимость синхронизации связанных устройств
Проблема была обнаружена внутренней командой безопасности WhatsApp и связана с недостаточной авторизацией сообщений синхронизации между связанными устройствами. В результате злоумышленник мог инициировать обработку контента с произвольного URL на устройстве жертвы. Такой вектор часто используется как этап в цепочке эксплуатации — для подгрузки или принудительного парсинга вредоносного контента.
Компания не уточнила полный перечень уязвимых сборок. Пользователям рекомендуется немедленно обновить WhatsApp на iOS и macOS до актуальных версий через App Store и Mac App Store, а также включить автообновления ОС и приложений.
Подозреваемая связка с Apple 0‑day в Image I/O
WhatsApp предполагает, что CVE-2025-55177 могла применяться в паре с недавно исправленной Apple уязвимостью CVE-2025-43300 во фреймворке Image I/O, который отвечает за чтение и запись изображений в многочисленных форматах. Apple сообщала, что эта zero-click проблема использовалась в реальных целевых атаках на отдельных пользователей, а патч был выпущен в середине августа 2025 года.
Почему связка опасна и как могла работать
Сценарий атаки, характерный для шпионских инструментов: первоначальная уязвимость в приложении связи (в данном случае — синхронизация WhatsApp) позволяет заставить устройство обработать контент, указывающий на внешний ресурс. Далее уязвимость уровня ОС в Image I/O обеспечивает непосредственное выполнение кода при разборе изображений — без взаимодействия пользователя. Подобные цепочки уже встречались ранее: так, в 2023 году в кампании BLASTPASS эксплуатировалась уязвимость Image I/O (CVE-2023-41064), что подтверждает привлекательность этого компонента для противников высокого уровня.
Масштаб: кто пострадал и что известно сейчас
По данным Amnesty International, WhatsApp уведомил порядка 200 человек, которые за последние 90 дней могли стать целями сложной кибершпионской кампании с использованием CVE-2025-55177. В уведомлениях рекомендовано выполнить полный сброс до заводских настроек и поддерживать ОС и приложение в актуальном состоянии. Организаторы кампании публично не раскрываются.
Риски и практические рекомендации по защите
Уязвимости подобного класса представляют повышенную опасность для журналистов, правозащитников, политиков и сотрудников критически важных отраслей. Рекомендуемые меры:
— Обновите iOS/iPadOS/macOS и WhatsApp до последних версий; включите автообновления.
— Проверьте список связанных устройств в WhatsApp и удалите незнакомые сессии.
— Если вы получили уведомление от WhatsApp или замечаете аномалии, выполните бэкап данных и сброс до заводских настроек с последующим восстановлением.
— Для групп повышенного риска целесообразно рассмотреть Режим изоляции (Lockdown Mode) в iOS/macOS, минимизирующий поверхность атаки.
— Организациям: применяйте MDM-политику обязательных обновлений, мониторинг событий безопасности на устройствах Apple, обучение пользователей распознаванию признаков компрометации.
Важно понимать, что zero-click атаки нацелены на невидимый для пользователя периметр — обработчики контента, предпросмотры и системные библиотеки. Поэтому своевременные патчи, сокращение числа доверенных устройств и строгая модель наименьших привилегий — ключевые элементы защиты.
Ситуация вокруг CVE-2025-55177 и CVE-2025-43300 подтверждает тренд: противники комбинируют уязвимости на уровне приложения и ОС, чтобы достичь бесшумной компрометации. Следите за обновлениями от WhatsApp и Apple, пересматривайте настройки безопасности и регулярно обучайте сотрудников цифровой гигиене — это наиболее эффективный способ снизить вероятность успешной атаки и ее последствия.
