Ak používate WhatsApp neodkladajte aktualizáciu, tá totižto rieši závažnú zraniteľnosť, ktorú môžu zneužívať hackeri. Meta opravila kritickú takzvanú zero-click zraniteľnosť vo svojich aplikáciách, ktoré sú určené pre operačné systémy iOS a macOS. Útoku tak boli vystavení používatelia zariadení od spoločnosti Apple.
Ako uvádzajú viaceré zdroje, napríklad portál Tech Crunch, zraniteľnosť sa v aplikácii vyskytovala až tri mesiace. Útočníkom umožňovala sofistikované útoky špionážneho softvéru, ktorý bol zameraný na konkrétnych používateľov.
Aktualizujete si WhatsApp
Zraniteľnosť je evidovaná pod označením CVE-2025-55177. A podľa bezpečnostných odborníkov bola zneužitá v kombinácii so zraniteľnosťou operačného systému od spoločnosti Apple. Útočníci sa zameriavali na kompromitáciu zariadení a krádež citlivých údajov, vrátane súkromných správ.
Spoločnosť Meta, pod ktorú aplikácia WhatsApp patrí, potvrdila, že o zraniteľnosti vie a opravila ju. Následne zaslala upozornenie používateľom, ktorých sa to týkalo. Spoločnosť tvrdí, že útok bol zameraný na konkrétnych ľudí (približne 200 používateľov). Útok dokonca nevyžadoval ani žiadnu interakciu zo strany používateľov, a preto bol mimoriadne nebezpečný.
Podrobnosti o útoku
Meta vysvetlila, v čom bol problém a uviedla, že zraniteľnosť súvisela s neúplným autorizovaním synchronizačných správ zariadení prepojených vo WhatsAppe. Toto umožnilo útočníkom spustiť spracovanie obsahu z ľubovoľných URL adries na napadnutých zariadeniach.
Bezpečnostní výskumníci uviedli, že táto chyba bola využitá v spojení s Apple CVE-2025-43300. A taktiež so zraniteľnosťou frameworku ImageIO, ktorú Apple opravil 20. augusta tohto roka. Niektorí bezpečnostní experti to označili za pokročilú špionážnu kampaň, ktorá bola aktívna približne 90 dní. Začiatok kampane sa odhaduje na koniec mája 2025.
Podľa bezpečnostného upozornenia komunikačnej platformy sa zraniteľnosť týkala viacerých aplikácií. Konkrétne: WhatsApp pre iOS pred verziou 2.25.21.73 a WhatsApp Business pre iOS pred verziou 2.25.21.78. Rovnako aj WhatsAppu pre macOS pred verziou 2.25.21.78. Spoločnosť vyhodnotila, že túto zraniteľnosť mohli útočníci využiť pri sofistikovanom útoku na konkrétnych cieľových používateľov.
WhatsApp používateľov upozornil
Podľa portálu Daily Security Review WhatsApp poslal ohrozeným používateľom varovné notifikácie. V nich upozorňoval na to, že zariadenia môžu zostať kompromitované malvérom alebo sa môžu stať terčom iných útokov. V oznámeniach používateľom odporučil vykonať továrenské nastavenie ich zariadenia ako preventívne opatrenie a aktualizovať operačný systém.
Ako podotýka portál Tech Crunch, načasovanie tohto zverejnenia prichádza v čase, keď WhatsApp pokračuje v boji proti komerčnému priemyslu špionážneho softvéru. Začiatkom tohto roka federálna porota nariadila izraelskej firme NSO Group, ktorá vyrába špionážny softvér, zaplatiť spoločnosti Meta odškodné. To sa vyšplhalo až na 167 miliónov dolárov za to, že v roku 2019 zacielila svojím špionážnym softvérom Pegasus viac ako 1 400 používateľov WhatsAppu.
Najnovšie informácie poukazujú na pretrvávajúcu hrozbu, ktorú predstavujú útoky typu zero-click. Odborníci na kybernetickú bezpečnosť považujú tieto útoky za jedny z najnebezpečnejších foriem kyberútokov. Dôvodom je, že dokážu kompromitovať zariadenie bez akejkoľvek interakcie používateľa.
Pravidelná aktualizácia je základom
Hoci sa zdá, že aktuálny útok bol zacielený len na úzku skupinu, tento incident zdôrazňuje, aké dôležité je pravidelne aktualizovať operačný systém zariadenia a taktiež jednotlivé aplikácie. Aj keď sa vás zrejme tento útok netýkal, aplikáciu si aktualizujte. Len tak máte totižto istotu, že používate softvér bez závažných bezpečnostných chýb.
