WhatsApp je otklonio bezbjednosnu ranjivost u svojim aplikacijama za Apple iOS i macOS, za koju se vjeruje da je iskorišćavana u kombinaciji sa nedavno otkrivenim propustom u Apple sistemima tokom ciljnih zero-day napada.
Ranjivost, označena kao CVE-2025-55177 (CVSS ocjena: 8.0 prema CISA-ADP / 5.4 prema Facebooku), povezana je sa nedovoljnom autorizacijom prilikom sinhronizacije poruka na povezanim uređajima. Istraživači iz WhatsApp Security tima zaslužni su za otkrivanje i ponovno ocjenjivanje greške.
Meta je saopštila da je propust „mogao omogućiti nepovezanom korisniku da pokrene obradu sadržaja sa proizvoljnog URL-a na uređaju mete“.
Pogođene verzije i zakrpe
Propust je uticao na sljedeće verzije aplikacije:
- WhatsApp za iOS prije verzije 2.25.21.73 (zakrpa objavljena 28. jula 2025)
- WhatsApp Business za iOS verzije 2.25.21.78 (zakrpa objavljena 4. avgusta 2025)
- WhatsApp za Mac verzije 2.25.21.78 (zakrpa objavljena 4. avgusta 2025)
Procijenjeno je i da je ranjivost mogla biti iskorišćena zajedno sa CVE-2025-43300, propustom u iOS, iPadOS i macOS, u sklopu sofisticiranog napada na ciljane korisnike.
Apple-ov propust i zero-click napadi
CVE-2025-43300 je prošle sedmice otkrio Apple, navodeći da je ranjivost već bila korišćena u „izuzetno sofisticiranom napadu na specifične ciljne pojedince“. Radi se o out-of-bounds write propustu u ImageIO okviru, koji može dovesti do korupcije memorije pri obradi malicioznih slika.
Donncha Ó Cearbhaill, šef Security Laba u Amnesty International, potvrdio je da je WhatsApp obavijestio određeni broj korisnika za koje se vjeruje da su bili mete napredne špijunske kampanje u proteklih 90 dana koristeći CVE-2025-55177.
U poruci pogođenim korisnicima, WhatsApp je preporučio potpuni fabrički reset uređaja, kao i redovno ažuriranje operativnog sistema i WhatsApp aplikacije radi optimalne zaštite. Trenutno nije poznato ko stoji iza napada niti koji špijunski vendor je u pitanju.
Meta ciljevi i prijetnja špijunskog softvera
Ó Cearbhaill je opisao kombinaciju propusta kao zero-click napad, što znači da napadaču nije potrebna nikakva interakcija korisnika (poput klika na link) da bi kompromitovao uređaj.
„Prvi pokazatelji upućuju na to da napad na WhatsApp pogađa i korisnike iPhone i Android uređaja, među kojima su i pojedinci iz civilnog društva,“ rekao je Ó Cearbhaill. „Državni špijunski softver nastavlja da predstavlja ozbiljnu prijetnju novinarima i borcima za ljudska prava.“
Obavještenja korisnicima
U saopštenju za The Hacker News, WhatsApp je naveo da je poslao in-app upozorenja za manje od 200 korisnika za koje se vjeruje da su bili mete ove kampanje.
Izvor: The Hacker News
