WhatsApp випустив термінові оновлення для iOS і macOS, що усувають 0‑day уразливість CVE-2025-55177, яка вже використовувалася у складних таргетованих атаках. Помилка стосувалася механізму синхронізації пов’язаних пристроїв і отримала оцінку CVSS 8.0, що відповідає високій критичності. Компанія закликає всіх користувачів негайно оновитися через App Store і Mac App Store.
Що саме виправлено: дефект авторизації під час синхронізації пристроїв
За заявою команди безпеки WhatsApp, проблему спричинила недостатня перевірка авторизації для повідомлень синхронізації між пов’язаними пристроями. Це відкривало можливість для зловмисника змусити пристрій жертви обробити контент з довільного зовнішнього URL. Подібний вектор зазвичай використовується як елемент ланцюжка експлуатації — для підвантаження або примусового парсингу шкідливих даних іншими компонентами системи.
WhatsApp не оприлюднив повний перелік уразливих збірок. Рекомендація одна: негайне оновлення застосунку і увімкнені автооновлення ОС та програм.
Можлива зв’язка з 0‑day Apple у фреймворку Image I/O
За оцінкою компанії, CVE-2025-55177 могла комбінуватися з нещодавно виправленою Apple уразливістю CVE-2025-43300 у Image I/O — системному фреймворку обробки зображень у багатьох форматах. Apple повідомляла, що ця zero-click проблема вже застосовувалась проти окремих користувачів, а виправлення було доступне в середині серпня 2025 року.
Як працює ланцюжок і чому він небезпечний
Типовий сценарій для кібершпигунських інструментів виглядає так: помилка в застосунку зв’язку (у цьому випадку — синхронізація WhatsApp) дає змогу скеровувати обробку контенту на зовнішній ресурс. Далі уразливість рівня ОС у Image I/O забезпечує негайне виконання коду під час розбору зображення без участі користувача. Подібні ланцюжки вже фіксувалися раніше: у 2023 році в кампанії BLASTPASS зловмисники використовували уразливість Image I/O (CVE-2023-41064), що підкреслює привабливість цього компонента для атак високого рівня.
Масштаб інциденту: кого попереджено та що робити постраждалим
За інформацією Amnesty International, WhatsApp надіслав сповіщення близько 200 користувачам, які протягом останніх 90 днів могли стати мішенню складної кібершпигунської кампанії, що використовувала CVE-2025-55177. У повідомленнях радять виконати повний скидання до заводських налаштувань після резервного копіювання і підтримувати ОС та застосунки в актуальному стані. Імовірні організатори кампанії публічно не називаються.
Ризики та практичні кроки захисту для користувачів і команд безпеки
Уразливості цього класу особливо небезпечні для журналістів, правозахисників, політиків і співробітників критично важливих секторів. Рекомендації:
– Оновіть iOS/iPadOS/macOS та WhatsApp; активуйте автооновлення.
– Перевірте пов’язані пристрої у WhatsApp і видаліть невідомі сесії.
– Якщо отримали сповіщення або бачите аномалії, зробіть бекап, виконайте скидання до заводських налаштувань та відновіть дані.
– Для груп підвищеного ризику увімкніть Lockdown Mode в iOS/macOS для мінімізації поверхні атаки.
– Організаціям: впровадьте MDM-політики обов’язкових оновлень, контроль комплаєнсу, моніторинг подій безпеки на пристроях Apple та навчання персоналу щодо ознак компрометації.
Ключовий висновок: супротивники дедалі частіше комбінують уразливості на рівні застосунків та ОС, щоб досягати «тихої» компрометації без кліків. Своєчасні патчі, скорочення кількості довірених пристроїв і дотримання принципу найменших привілеїв суттєво знижують ймовірність успіху таких атак. Перевірте наявність останніх оновлень від WhatsApp і Apple вже сьогодні, перегляньте налаштування безпеки та актуалізуйте внутрішні політики реагування — це найкраща інвестиція у стійкість ваших пристроїв і даних.
