Iz WhatsAppa je ovih dana stigla obavijest o najnovijoj zakrpi u njihovoj aplikaciji za iOS i MacOS. Njome je ispravljen propust označen kao CVE-2025-55177, koji je predstavljao ozbiljnu zero-day ranjivost. On je, kažu, mogao omogućiti nepovezanom korisniku pokretanje obrade sadržaja s proizvoljnog URL-a na ciljanom uređaju.

Zero-day i zero-click

Iz Mete, vlasnika WhatsAppa, procjenjuju da je otkrivena (i sada zakrpana) ranjivost, u kombinaciji s ranjivošću na razini operativnog sustava na Appleovim platformama (CVE-2025-43300), možda iskorištena u sofisticiranom napadu na određene ciljane korisnike. Apple je već ranije, prilikom nedavnog puštanja iOS-a 18.6.2 u opticaj, potvrdio da su napadači možda već iskoristili ovaj propust u vrlo sofisticiranoj operaciji usmjerenoj na specifične, visokovrijedne ciljeve.

Donncha Ó Cearbhaill iz Amnesty Internationala pojasnio je na X-u o kakvoj se hakerskoj kampanji radilo, odnosno tko su bile glavne mete. Prema njihovom istraživanju, pogođen je bio određeni broj osoba iz udruga civilnog društva, kojima su ciljano bile poslane posebno prerađene poruke, čime se aktivirao maliciozni kôd i pokretao na njihovim iPhoneima. Riječ je ovdje o jednom od najopasnijih vrsta propusta, budući da je dugo vremena bio nepoznat sigurnosnim stručnjacima Mete i Applea (zero-day), a napad je bilo moguće izvesti i bez bilo kakve akcije sa strane žrtve (tzv. zero-click napadi).

Prve informacije, pak, kažu da su na sličan način mogli biti napadnuti i korisnici WhatsAppa na Android mobitelima. Ono što je potrebno učiniti jest nadograditi uređaj najnovijom verzijom OS-a (u slučaju iPhonea to je spomenuti iOS 18.6.2), kao i WhatsApp na verziju v2.25.21.73 (ili v2.25.21.78 u slučaju poslovne i Mac aplikacije). Propust su otkrili WhatsAppovi sigurnosni stručnjaci, a trenutačno nije poznato tko stoji iza sada osujećene metode napada.