WhatsApp iOS un Mac lietotnēs novērsta “zero-click” kļūda, kas ļāva spiegprogrammatūrai piekļūt Apple lietotāju datiem.
WhatsApp piektdien paziņoja, ka ir izlabojuši drošības ievainojamību savās iOS un Mac lietotnēs. Ievainojamība tika izmantota, lai slepus uzlauztu “specifiski atlasītus lietotājus” ar Apple ierīcēm.
Meta piederošā ziņapmaiņas lietotne savā drošības paziņojumā norādīja, ka novērsta ievainojamība ar kodu CVE-2025-55177. Tā tika izmantota kopā ar citu kļūdu, kas tika atrasta iOS un Mac ierīcēs un kuru Apple izlabojis jau pagājušajā nedēļā, klasificējot to kā CVE-2025-43300.
Apple toreiz norādīja, ka šī kļūda izmantota “ārkārtīgi sarežģītā uzbrukumā pret konkrētiem mērķiem”. Tagad zināms, ka ar šo ievainojamību kombināciju tikuši uzbrukti vairāki desmiti WhatsApp lietotāju.
“Zero-click” uzbrukums bez lietotāja iesaistes
Amnesty International Safety laboratorijas vadītājs Donnča O Cearbhaills sociālajā tīklā X šo kampaņu raksturoja kā “attīstītu spiegprogrammatūras kampaņu”, kas mērķējusi lietotājus pēdējo 90 dienu laikā – kopš maija beigām.
Viņš skaidroja, ka abas kļūdas veidoja tā saucamo “zero-click” uzbrukumu. Šāda veida uzbrukumā upurim nav jāveic nekādas darbības (piemēram, jānoklikšķina uz saites), lai ierīce tiktu kompromitēta.
Apvienojot abas ievainojamības, uzbrucēji varēja piegādāt ļaunprātīgu kodu caur WhatsApp, kas spēja piekļūt lietotāja Apple ierīcei un nozagt tajā esošos datus, tostarp ziņas.
Nav zināms, kurš vai kura spiegprogrammatūras izstrādātājs ir aiz šiem uzbrukumiem.
Brīdināti mazāk nekā 200 WhatsApp lietotāju
Uzņēmuma pārstāve Margarita Franklin ziņu aģentūraiTechCrunch apstiprināja, ka Meta “pirms dažām nedēļām” atklāja un salaboja ievainojamību, nosūtot paziņojumus “mazāk nekā 200” skartajiem WhatsApp lietotājiem.
Viņa gan nekomentēja, vai uzņēmumam ir pierādījumi par konkrētu uzbrucēju vai pārraudzības programmatūras piegādātāju.
Šī nav pirmā reize, kad WhatsApp lietotāji kļūst par kādas valdības spiegprogrammatūras upuriem. Šāds ļaunprogrammatūras veids var uzlauzt pat pilnībā atjauninātas ierīces, izmantojot tā dēvētās zero-day ievainojamības, kas līdz tam nav bijušas zināmas ražotājam.
Piemēram, šī gada maijā ASV tiesa piesprieda spiegprogrammatūras ražotājam NSO Group samaksāt WhatsApp 142 miljonus eiro par 2019. gada uzbrukumu, kurā tika kompromitētas vairāk nekā 1 400 lietotāju ierīces, izmantojot Pegasus spiegprogrammatūru.
WhatsApp tiesā norādīja, ka NSO rīcība pārkāpa gan federālos, gan štata likumus, kā arī pašas platformas lietošanas noteikumus.
Arī šī gada sākumā WhatsApp apturēja spiegprogrammatūras kampaņu. Tā tika vērsta pret aptuveni 90 lietotājiem – žurnālistiem un pilsoniskās sabiedrības pārstāvjiem Itālijā. Itālijas valdība noliedza savu iesaisti, taču, pēc tam, kad pārraudzības rīki tika ļaunprātīgi izmantoti, uzņēmums Paragon pārtrauca sadarbību ar valsti.
Avots: TechCrunch
