Luka 0-click w WhatsApp pozwala na przejęcie pełnej kontroli nad urządzeniami Apple

Badacze z DarkNavyOrg odkryli lukę 0-click w WhatsAppie, która pozwala atakującemu na przejęcie pełnej kontroli nad urządzeniami Apple.

Kategoria podatności „zero-click”, oznacza brak konieczności jakiejkolwiek interakcji ze strony ofiary, do wykonania kodu wystarczy odebranie złośliwej wiadomości przez aplikację.

Atak wykorzystuje dwie podatności oznaczone jako CVE-2025-55177 oraz CVE-2025-43300.

CVE-2025-55177: błąd logiki w obsłudze wiadomości — podatność pozwala niepowiązanemu użytkownikowi (spoza kontaktów) wywołać przetwarzanie treści z dowolnego adresu URL na urządzeniu ofiary.

CVE-2025-43300: błąd w systemach Apple powoduje uszkodzenie pamięci podczas przetwarzania złośliwego obrazu i pozwala uruchomić kod atakującego.

Atakujący mogą wysłać do ofiary wiadomość ze specjalnie spreparowanym złośliwym plikiem DNG, który podczas przetwarzania przez WhatsApp powoduje błąd pamięci i zdalne wykonanie kodu. 

Udostępnione przez badaczy PoC (ang. Proof Of Concept) pokazuje skrypt, który automatyzuje cały proces: logowanie do WhatsApp, generowanie nieprawidłowego pliku DNG i wysyłanie ładunku na docelowy numer telefonu. 

Udane wykorzystanie luki może zapewnić atakującemu pełną kontrolę nad urządzeniem, w tym dostęp do wrażliwych danych, monitorowanie komunikacji i instalację kolejnego złośliwego oprogramowania.

Jak się chronić?

W przypadku ataków 0-click całkowita ochrona może być niemożliwa. Warto jednak być na bieżąco z informacjami o aktualizacjach dla używanych systemów, aby otrzymywać poprawki bezpieczeństwa natychmiast po ich udostępnieniu.

Dla osób szczególnie narażonych na cyberataki Apple udostępniło tzw. tryb blokady. Jest to specjalna, dodatkowa funkcja bezpieczeństwa, która znacznie ogranicza funkcjonalności urządzeń ale zapewnia najwyższy poziom ochrony.

~Natalia Idźkowska