WhatsApp rregullon ‘bug-un zero-click’ që përdorej për të hakuar përdoruesit e Apple me spyware
WhatsApp tha të premten se kishte rregulluar një gabim sigurie në aplikacionet e saj iOS dhe Mac që po përdorej për të hakuar fshehurazi pajisjet Apple të “përdoruesve të caktuar”.
Gjigandi i aplikacioneve të mesazheve në pronësi të Meta tha në njoftimin e tij të sigurisë se kishte rregulluar dobësinë, e njohur zyrtarisht si CVE-2025-55177, e cila u përdor së bashku me një të metë të veçantë të gjetur në iOS dhe Mac, të cilën Apple e rregulloi javën e kaluar dhe e gjurmon si CVE-2025-43300.
Apple tha në atë kohë se e meta ishte përdorur në një “sulm jashtëzakonisht të sofistikuar kundër individëve të caktuar”. Tani e dimë se dhjetëra përdorues të WhatsApp ishin të shënjestruar nga këto të meta.
Donncha Ó Cearbhaill, e cila drejton Laboratorin e Sigurisë të Amnesty International, e përshkroi sulmin në një postim në X si një “fushatë të përparuar spiune” që kishte në shënjestër përdoruesit gjatë 90 ditëve të fundit, ose që nga fundi i majit. Ó Cearbhaill i përshkroi dy defektet si një sulm “zero-click”, që do të thotë se nuk kërkon ndonjë ndërveprim nga viktima, siç është klikimi i një lidhjeje, për të kompromentuar pajisjen e tyre.
Dy gabimet e lidhura së bashku i lejojnë një sulmuesi të kryejë një shfrytëzim dashakeq përmes WhatsApp që është i aftë të vjedhë të dhëna nga pajisja Apple e përdoruesit.
Sipas Ó Cearbhaill, i cili postoi një kopje të njoftimit të kërcënimit që WhatsApp u dërgoi përdoruesve të prekur, sulmi ishte në gjendje të “kompromentonte pajisjen tuaj dhe të dhënat që ajo përmban, përfshirë mesazhet”.
Nuk është menjëherë e qartë se kush, ose cili shitës i programeve spiune, qëndron pas sulmeve.
Kur u kontaktua nga TechCrunch, zëdhënësja e Meta-s, Margarita Franklin, konfirmoi se kompania zbuloi dhe korrigjoi të metën “disa javë më parë” dhe se kompania dërgoi “më pak se 200” njoftime te përdoruesit e prekur të WhatsApp.
Zëdhënësi nuk tha, kur u pyet nëse WhatsApp ka prova për t’ia atribuuar sulmet kibernetike një sulmuesi specifik ose një shitësi mbikëqyrjeje.
Kjo nuk është hera e parë që përdoruesit e WhatsApp janë shënjestruar nga programet spiune qeveritare , një lloj programi keqdashës i aftë të depërtojë në pajisje të patch-uara plotësisht me dobësi të panjohura për shitësin, të njohura si të meta zero-day.
Në maj, një gjykatë amerikane urdhëroi prodhuesin e programeve spiune NSO Group të paguante WhatsApp 167 milionë dollarë dëmshpërblim për një fushatë hakerimi të vitit 2019 që hyri në pajisjet e më shumë se 1,400 përdoruesve të WhatsApp me një shfrytëzim të aftë për të mbjellë programin spiune Pegasus të NSO. WhatsApp ngriti padi kundër NSO, duke përmendur një shkelje të ligjeve federale dhe shtetërore të hakerimit, si dhe të kushteve të veta të shërbimit.
Më herët këtë vit, WhatsApp ndërpreu një fushatë spiunazhi që kishte në shënjestër rreth 90 përdorues, përfshirë gazetarë dhe anëtarë të shoqërisë civile në të gjithë Italinë. Qeveria italiane mohoi përfshirjen e saj në fushatën e spiunazhit. Paragon, programi spiun i të cilit u përdor në fushatë, më vonë ia hoqi Italisë mjetet e saj të hakerimit për shkak se nuk arriti të hetonte abuzimin.