Luka w WhatsAppie. Nie musisz niczego klikać

Zagrożeniem jest przejęcie kontroli nad smartfonem i aby doszło do skutku, w tym przypadku - podobnie jak w innych atakach 0-click - wystarczy, że aplikacja odbierze spreparowaną wiadomość. Według opisu DarkNavyOrg taka wiadomość wysłana na WhatsAppie może uruchomić błąd prowadzący do zdalnego wykonania kodu, a w konsekwencji do przejęcia urządzenia - zwraca uwagę serwis Sekurak opisujący sprawę.

Mechanizm ma opierać się na połączeniu dwóch podatności: CVE-2025-55177 i CVE-2025-43300. Pierwsza dotyczy błędu logiki w obsłudze wiadomości w WhatsAppie i umożliwia przetwarzanie treści z dowolnego adresu URL, nawet gdy nadawca nie jest w kontaktach. Druga to błąd w systemach Apple powodujący uszkodzenie pamięci przy obróbce złośliwego obrazu.

W praktyce atakujący mogą wysłać potencjalnej ofierze z WhatsAppem specjalnie przygotowany plik DNG. Gdy komunikator przetwarza taki obraz, dochodzi do błędu pamięci i możliwe jest zdalne uruchomienie kodu. Badacze udostępnili dowód (tzw. PoC) pokazujący skrypt automatyzujący logowanie do WhatsAppa, generowanie wadliwego DNG i realizację ataku z wraz z wysłaniem na konkretny numer kontaktowy.

Skuteczny atak może dać cyberprzestępcy pełną kontrolę nad urządzeniem. W grę wchodzi dostęp do wrażliwych danych, podgląd komunikacji oraz instalacja kolejnego złośliwego oprogramowania. To czyni z luki 0-click poważne zagrożenie dla użytkowników. Co ciekawe, w praktyce w przypadku ataków 0-click pełna ochrona bywa nierealna.

Autorzy wskazują na konieczność bieżącego instalowania aktualizacji systemów i aplikacji, by otrzymywać poprawki bezpieczeństwa natychmiast po publikacji. Dla szczególnie narażonych w tym przypadku użytkowników WhatsAppa korzystających z urządzeń Apple, producent oferuje tryb blokady, który ogranicza funkcje, ale podnosi poziom ochrony.