WhatsAppは、iOSおよびmacOS向けのメッセージングクライアントに存在したセキュリティ脆弱性を修正しました。この脆弱性は標的型のゼロデイ攻撃で悪用されていました。
同社によると、このゼロクリック脆弱性(CVE-2025-55177として追跡)は、iOS版WhatsAppのバージョン2.25.21.73未満、iOS版WhatsApp Business v2.25.21.78、およびMac版WhatsApp v2.25.21.78に影響します。
「WhatsAppにおけるリンク済みデバイスの同期メッセージの認可が不完全であったため、無関係のユーザーがターゲットのデバイス上で任意のURLからのコンテンツ処理を引き起こすことができた可能性があります」と、WhatsAppは金曜日のセキュリティアドバイザリで述べています。
「私たちは、この脆弱性がAppleプラットフォーム上のOSレベルの脆弱性(CVE-2025-43300)と組み合わさることで、特定の標的ユーザーに対する高度な攻撃で悪用された可能性があると評価しています。」
Appleが今月初めに緊急アップデートをリリースしてCVE-2025-43300のゼロデイ脆弱性を修正した際にも、この脆弱性が「極めて高度な攻撃」で悪用されていたと述べていました。
両社はまだ攻撃に関するさらなる情報を公開していませんが、アムネスティ・インターナショナルのセキュリティラボ責任者であるDonncha Ó Cearbhaill氏は、WhatsAppが一部のユーザーに対し、過去90日間に高度なスパイウェアキャンペーンの標的になったと警告したと述べています。
「私たちは、この特定の攻撃がWhatsAppを通じて発生しないように対策を講じました。しかし、お使いのデバイスのオペレーティングシステムは依然としてマルウェアにより侵害されている可能性があり、他の方法で標的にされることもあります」と警告には記載されています。
影響を受けた可能性のある個人に送られた脅威通知の中で、WhatsAppはデバイスの初期化(工場出荷時リセット)を行い、OSおよびソフトウェアを常に最新の状態に保つようアドバイスしています。
3月には、トロント大学Citizen Labのセキュリティ研究者からの報告を受けて、ParagonのGraphiteスパイウェアのインストールに悪用された別のゼロデイ脆弱性もWhatsAppによって修正されました。
「WhatsAppは、ジャーナリストや市民社会のメンバーを含む複数のユーザーを標的としたParagonによるスパイウェアキャンペーンを阻止しました。影響を受けたと考えられる方々には直接連絡を取っています」と、当時WhatsAppの広報担当者はBleepingComputerに語っています。
