Месенджер WhatsApp, який належить Meta, закрив уразливість у версіях для iOS та macOS, яка дозволяла зловмисникам без взаємодії користувача встановлювати шкідливе ПЗ. Атаки тривали близько трьох місяців і були націлені на журналістів, працівників благодійних організацій та представників некомерційних неурядових організацій (НУО), повідомляє PCMag.
Вразливість, позначена як CVE-2025-55177, дозволяла зловмисникам примусово відобразити контент із "довільного URL" на пристрої жертви. Оскільки це був zero-click експлойт, користувачу не потрібно було клікати на посилання чи виконувати будь-які інші дії.
Фахівці зазначають, що зловмисники поєднували цей баг із попередньою вразливістю на рівні ОС Apple (CVE-2025-43300), яку компанія виправила минулого місяця. WhatsApp радить користувачам, які постраждали від атаки, зробити повне скидання пристрою, оновити операційну систему та сам додаток до останніх версій.
Представники AmnestyTech підкреслюють, що вразливість може використовуватися й через інші додатки, а не тільки WhatsApp. Зловмисників офіційно не названо, але останнім часом з’являлися звинувачення у використанні подібного шпигунського ПЗ урядами для стеження за журналістами та працівниками НУО.
Нагадаємо, нещодавно стало відомо про вразливість штучного інтелекту Gemini, яка дозволяє використовувати короткий зміст листів у Gmail для фішингу.