Исследователи кибербезопасности обнаружили критическую уязвимость удаленного выполнения кода (RCE) в популярном мессенджере WhatsApp, которая ставит под угрозу миллионы пользователей продукции Apple. Особенность эксплойта заключается в его способности работать без какого-либо взаимодействия с жертвой - так называемая атака «zero-click» (нулевого клика).
Детали уязвимости
Эксперты из группы DarkNavyOrg разработали и продемонстрировали рабочий прототип эксплойта (PoC), использующий две различные уязвимости для компрометации устройств под управлением iOS, macOS и iPadOS. Атака начинается с эксплуатации CVE-2025-55177 - ошибки логики в механизме обработки сообщений WhatsApp. Как установили исследователи, приложение не проверяет корректно, действительно ли входящее сообщение поступило с связанного устройства. Это отсутствие проверки позволяет злоумышленникам создавать специально сформированные сообщения, которые имитируют исходящие от доверенного контакта жертвы.
Как только поддельное сообщение проходит начальные фильтры безопасности, активируется вторая уязвимость - CVE-2025-43300, связанная с обработкой изображений в формате DNG (Digital Negative). Злоумышленник внедряет в сообщение специально созданное поврежденное DNG-изображение. При автоматической обработке этого изображения мессенджером возникает ошибка повреждения памяти, которая перерастает в уязвимость удаленного выполнения кода. В результате атакующий получает полный контроль над устройством-жертвой.
Весь процесс атаки полностью автоматизирован. Специальный скрипт авторизуется в WhatsApp, генерирует поврежденное DNG-изображение и отправляет его на номер телефона цели. Критически важно, что атака выполняется абсолютно скрытно - получатель не видит уведомления, предварительного просмотра сообщения или любых других признаков компрометации. Устройство переходит под полный контроль злоумышленника без каких-либо видимых симптомов.
Потенциальные последствия этой уязвимости чрезвычайно серьезны. Получив полный контроль над устройством, злоумышленник может перехватывать сообщения, похищать фотографии и файлы, записывать телефонные разговоры и устанавливать дополнительное вредоносное программное обеспечение. Поскольку эксплойт работает во всей экосистеме Apple, под угрозой оказываются iPhone, iPad и компьютеры Mac. Скрытный характер атаки означает, что даже наиболее бдительные пользователи могут быть скомпрометированы.
Уязвимости обработки файлов являются распространенной причиной уязвимостей удаленного выполнения кода. Сложные форматы изображений, такие как DNG, часто содержат множество встроенных разделов метаданных. Единственный неправильно сформированный тег может нарушить управление памятью, создавая условия для эксплуатации. Кроссплатформенные мессенджеры автоматически обрабатывают эти типы файлов, что создает мощный вектор атаки при недостаточной проверке валидности.
Исследовательская группа DarkNavyOrg продолжает анализ связанных уязвимостей, включая специфическую для устройств Samsung уязвимость CVE-2025-21043, которая аналогичным образом использует механику атак нулевого клика. Тем временем, о двух критических ошибках были уведомлены WhatsApp и Apple. Пользователям рекомендуется обновить WhatsApp до последней доступной версии и установить новейшие патчи безопасности для iOS, macOS или iPadOS сразу после их выпуска.
До появления исправлений специалисты рекомендуют избегать открытия подозрительных сообщений или изображений, даже от доверенных контактов. Хотя эта атака не требует взаимодействия с пользователем, ограничение воздействия неожиданных файлов может снизить риски. Корпоративным клиентам следует пересмотреть политики мобильной безопасности и рассмотреть возможность дополнительного мониторинга аномального трафика WhatsApp.
Обнаруженная уязвимость нулевого клика в WhatsApp наглядно демонстрирует продолжающиеся проблемы защиты автоматической обработки файлов в мессенджерах. Поскольку злоумышленники совершенствуют методы обхода взаимодействия с пользователем, надежная проверка и быстрое развертывание исправлений остаются лучшей защитой против скрытых и разрушительных эксплойтов.
