Alertă de securitate DNSC: Vulnerabilitățile zero-click critice afectează WhatsApp și sistemele Apple

În ultima perioadă au fost detectate atacuri periculoase care exploatează două vulnerabilități zero-click, CVE-2025-55177 și CVE-2025-43300. Acestea formează un lanț ce permite livrarea de malware fără interacțiunea utilizatorului, avertizează DNSC.

Cum funcționează vulnerabilitățile zero-click în WhatsApp

Atacatorul face ca aplicația WhatsApp să primească automat o imagine DNG de pe un server controlat de el. La primire, WhatsApp încearcă să genereze o previzualizare. Componenta Apple ImageIO, responsabilă cu procesarea imaginilor, întâlnește date artificale care corup memoria și pot permite rularea unui cod malițios.

Ce înseamnă vulnerabilitățile zero-click?

„Nu da click pentru a nu pica în capcana hackerilor” este o regulă valabilă în multe cazuri. Pentru atacul zero-click aceasta nu se aplică. Atacul zero-click compromite dispozitivul fără nicio acțiune din partea victimei. Nu este nevoie de click, deschiderea unui fișier sau acceptarea vreunei permisiuni.

Start pentru afaceri românești: program de peste 100 de milioane de franci pentru IMM-uri, lansat la București

20:37

Decizie controversată în SUA: studii despre siguranța vaccinurilor COVID și zona zoster, blocate de autorități

18:46

Ce este un fișier DNG?

DNG, format neprocesat standardizat de Adobe, este un fișier foto complex. Conține tag-uri, offset-uri, tabele și metadate bogate. Atacatorul poate crea ușor fișiere DNG malițioase cu instrumente publice și poate declanșa exploatarea fără implicare utilizator.

Descrierea vulnerabilităților zero-click exploatate

CVE-2025-55177 este o una dintre vulnerabilitățile zero-click de tip „incomplete authorization”. Aceasta permite utilizatorilor neautorizați să forțeze procesarea unui conținut de pe un URL arbitrar pe dispozitiv.

CVE-2025-43300 este o vulnerabilitate „out-of-bounds write”, prezentă în ImageIO pentru iOS, iPadOS și macOS. Ea poate duce la rularea codului arbitrar de la distanță.

Modul de exploatare al vulnerabilităților zero-click în WhatsApp

WhatsApp, prin CVE-2025-55177, acceptă sincronizarea conținutului de la un link fără a verifica autorizarea. Astfel, un atacator poate forța descărcarea de resurse malițioase. Vulnerabilitatea CVE-2025-43300 permite ca fișierul DNG să corupă memoria sistemului și să execute cod malițios. Spionajul poate folosi camera, microfonul și datele sensibile ale utilizatorului.

Tehnologii și versiuni afectate de vulnerabilitățile zero-click

• WhatsApp pentru iOS: versiunile înainte de 2.25.21.73.

• WhatsApp Business pentru iOS: versiunile înainte de 2.25.21.78.

• WhatsApp pentru macOS: versiunile înainte de 2.25.21.78.

• Apple ImageIO: iOS și iPadOS versiunile înainte de 16.7.

• macOS: versiunile înainte de Sonoma 14.7.8, Ventura 13.7.8, Sequoia 15.6.1.

Recomandări pentru securitate

Actualizați imediat aplicațiile WhatsApp, WhatsApp Business și WhatsApp pentru Mac la cele mai recente versiuni pentru a scăpa de vulnerabilitățile zero-click. Aplicați toate update-urile Apple disponibile pentru iOS, iPadOS și macOS. Fiți informați despre atacurile în trend și mențineți igiena digitală. Urmăriți alertele oficiale de securitate și activați setările de protecție disponibile. Tratați cu seriozitate orice notificare legată de siguranța contului sau aplicațiilor.

Concluziile raportului DNSC

Exploatarea CVE-2025-55177 împreună cu CVE-2025-43300 ilustrează modelul atacurilor sofisticate. O aplicație populară ca WhatsApp este folosită ca vector, iar o vulnerabilitate în componenta sistemului de operare facilitează execuția codului. Fișierul DNG, procesat automat, a permis atacuri zero-click greu detectabile. Măsura cea mai eficientă este actualizarea promptă a aplicațiilor și sistemelor de operare.