Masz iPhone’a z iOS 16 i zainstalowanym komunikatorem WhatsApp? Możesz paść ofiarą ataku typu zero-click

Wyobraźmy sobie sytuację, w której nagle kontaktuje się z nami dobry znajomy z pytaniem kiedy oddamy mu pożyczone pieniądze. W trakcie rozmowy pokazuje nam zrzuty ekranu z wiadomościami na WhatsAppie, w których rzekomo prosimy go o niewielką kwotę, bo akurat tyle nam zabrakło podczas robienia zakupów. Jesteśmy zaskoczeni, ponieważ nigdy nie prosiliśmy go o żadną pomoc, a na naszym czacie w komunikatorze nie ma śladu po tej rozmowie. Brzmi znajomo? Tak właśnie wygląda popularny schemat oszustwa na BLIK-a. 

TLDR:

• Jak podają analitycy bezpieczeństwa z Forenser Digital Investigation, atakujący aktywnie przejmują konta na WhatsAppie użytkowników iPhone’ów.
• Narażeni są posiadacze urządzeń od iPhone 8 do iPhone 14 (wliczając warianty X, XR, XS, 11, SE, 12 i 13), z systemem iOS 16.
• Atak nie wymaga żadnej interakcji ze strony użytkownika (zero-click).
• Cyberprzestępcy wykorzystują łańcuch podatności: lukę w autoryzacji synchronizacji WhatsAppa (CVE-2025-55177) oraz błąd w systemowym komponencie Apple do przetwarzania grafiki ImageIO (CVE-2025-43300).
• W efekcie, bez wiedzy użytkownika są w stanie przejąć aktywną sesję komunikatora oraz podszywać się pod właściciela konta.
• Celem atakujących są kwestie finansowe – przejęte urządzenia służyły do kradzieży pieniędzy (wyłudzania kodów BLIK).
• Sposobem na obronę przed zagrożeniem jest niezwłoczna aktualizacja oprogramowania.

To jest tylko jeden z przykładów, scenariuszy ataków jest wiele. Cyberprzestępcy nie ograniczają się tylko do wyłudzania kodów BLIK. Za pomocą sprytnych technik potrafią tak zmanipulować użytkownika, aby wszedł na złośliwą stronę, pobrał zainfekowaną aplikację lub udostępnił swoje prywatne dane.

A co jeśli jesteśmy pewni, że nie kliknęliśmy w złośliwy link, nie zeskanowaliśmy podstawionego kodu QR, a telefon cały czas znajdował się pod naszą kontrolą? Sprawdzenie listy powiązanych urządzeń również nie wskazuje na nic niepokojącego – znajdują się tam jedynie urządzenia kontrolowane przez nas. 

Tego typu sytuacja wydarzyła się naprawdę we Włoszech i dotknęła użytkowników smartfonów Apple, a mówiąc precyzyjniej, posiadaczy starszych urządzeń z systemem iOS 16. Mechanizm ataku bazował na podatnościach typu zero-click, występujących zarówno w systemie operacyjnym jak i w aplikacji WhatsApp. Nie wymagał od użytkownika żadnej interakcji.

Zdaniem analityków podatność dotyczy modeli od iPhone 8 do iPhone 14, wliczając warianty X, XR, XS, 11, SE, 12 i 13. Wszystkie zainfekowane smartfony działały na systemie iOS 16. Badaczom, nie udało się jednoznacznie potwierdzić, czy atakujący posiadali dostęp do historii rozmów na WhatsAppie. Biorąc pod uwagę fakt, że treści te są zaszyfrowane (end-to-end encryption), prawdopodobieństwo uzyskania nieuprawnionego dostępu do nich ocenia się jako niewielkie. 

Schemat ataku

Ustalenie dokładnego wektora ataku nie było łatwym zadaniem. Analitycy skupili się na logach systemowych, logach aplikacyjnych oraz anomaliach w ruchu sieciowym. Zaobserwowano, że aplikacja WhatsApp przeprowadzała ciągły proces ponownej synchronizacji (resync), co wskazywało na to, że dwa różne urządzenia próbują utrzymać kontrolę nad tym samym kontem. W praktyce oznaczało to, ciągłe ponawianie procesu uwierzytelniania na serwerach komunikatora. 

Proces ten był możliwy, ponieważ atakujący na skutek podatności CVE-2025-55177 w komunikatorze oraz CVE-2025-43300 w systemie operacyjnym, wykradli materiał kryptograficzny służący do inicjalizacji sesji (handshake). Dzięki niemu można uruchomić nowego klienta WhatsApp przypisanego do konta użytkownika na dowolnie innym urządzeniu. Takie działania pozwalały na przejęcie konta bez wywoływania jakichkolwiek widocznych powiadomień na telefonie ani w samej aplikacji. 

Osoba, która w danej chwili została uwierzytelniona przez serwer, mogła prowadzić działania na zalogowanym koncie. W ten sposób, bez wiedzy użytkownika istniała możliwość wysyłania wiadomości, podczas gdy sekcja “Połączone urządzenia (Linked devices)” nie zawierała niepokojących wpisów.

Podatność CVE-2025-43300 (typu out-of-bounds) występowała we frameworku ImageIO – systemowej bibliotece Apple odpowiedzialnej za przetwarzanie, parsowanie i renderowanie formatów graficznych. Za każdym razem, gdy na urządzenie trafiał plik graficzny (w wiadomości MMS lub w komunikatorze), system automatycznie używał tej biblioteki do generowania podglądu. 

Jeżeli atakujący, odpowiednio zmanipulował metadane w pliku graficznym, framework na skutek błędu w implementacji próbował zapisać dane poza obszarem pamięci RAM zarezerwowanej dla tego obrazu. Przekroczenie tej granicy prowadziło do uszkodzenia pamięci (memory corruption) oraz umożliwiało wykonanie złośliwego kodu. Apple naprawiło błąd w sierpniu 2025 r.

Luka CVE-2025-55177 występowała w komunikatorze WhatsApp na systemach iOS i macOS. Wynikała z błędnej autoryzacji komunikatów synchronizacyjnych między powiązanymi urządzeniami.

Funkcja ta służy do synchronizacji danych (np. treści wiadomości) między urządzeniami należącymi do użytkownika (telefon, laptop, tablet). Na skutek błędnej implementacji mechanizmu uwierzytelnienia, istniała możliwość wysyłania komunikatów synchronizacyjnych do urządzenia użytkownika przez osobę, która nie posiadała do tego żadnych uprawnień. Wykorzystując powyższy błąd, atakujący mógł wysłać do użytkownika specjalnie spreparowaną, ukrytą wiadomość, która zmuszała aplikację do odwołania się pod wskazany adres URL, a następnie pobrania i przetworzenia złośliwej zawartości (np. zmodyfikowanego pliku graficznego).

Proces odbywał się całkowicie w tle, bez wiedzy użytkownika. Nie trzeba było klikać w żaden link ani otwierać złośliwego załącznika (atak typu zero-click). W połączeniu z podatnością występującą w systemowym komponencie (ImageIO), błąd ten pozwalał na zdalne wykonanie złośliwego kodu, przejęcie sesji komunikatora oraz podszycie się pod użytkownika. Warto podkreślić, że atak nie zostawiał żadnych śladów na liście podłączonych urządzeń, a wysłane wiadomości nie były widoczne w aplikacji użytkownika. 

Meta oraz Apple wydały poprawki bezpieczeństwa naprawiające wykryte błędy, dlatego skuteczną obroną przed tego typu zagrożeniem jest aktualizacja oprogramowania. W przypadku podatności typu zero-click, użytkownik nie zdaje sobie sprawy z zagrożenia, a o fakcie infekcji dowiaduje się w momencie, gdy jest już za późno.

Z przeprowadzonej analizy wynika, że włączenie w komunikatorze funkcji blokady czatów (kod PIN, biometria) redukuje płaszczyznę ataku oraz znacząco utrudnia lub wręcz uniemożliwia jego realizację.

Warto pamiętać, że każdą prośbę związaną z dokonaniem przelewu czy podaniem numeru BLIK należy zweryfikować, wykonując bezpośrednie połączenie do naszego rozmówcy. Kreatywność atakujących nie zna granic, a metody ataku dostosowują się do obecnych trendów i technologicznych realiów. 

Podstawą bezpieczeństwa jest regularne aktualizowanie oprogramowania. W przypadku pojawienia się poprawek, należy je bezzwłocznie instalować. W przypadku exploitów zero-click czas reakcji ma ogromne znaczenie. Odkładanie aktualizacji na później może skutkować utratą kontroli nad urządzeniem, a konsekwencje łatwo sobie wyobrazić.

Źródło: forenser.it 

~_secmike