WhatsApp 0-Click Vulnerability

Lipsa unor mecanisme de securitate sau prezența unor vulnerabilități în aplicațiile instalate pe un dispozitiv conectat la Internet pot duce compromiterea acestuia, permițând atacatorilor să ruleze cod arbitrar cu urmări extrem de neplăcute: acces la date confidențiale sau private, efectuarea unor operațiuni neautorizate, criptarea datelor și solicitarea unei recompense în criptomonede pentru a fi redate utilizatorului. Atacurile de acest tip se întâmplă de cele mai multe ori prin acțiunea neglijentă a utilizatorului care rulează un program malițios, sin neatenție sau indus în eroare de atacator. Sunt însă și situații cum este cea descoperită recent în aplicația WhatsApp și în sistemul de operare iOS prezent pe dispozitivele Apple. Exploatarea vulnerabilității Apple (CVE-2025-43300) și cea prezentă în WhatsApp (CVE-2025-55177) au permis preluarea controlului asupra dispozitivelor afectate.

CVE-2025-43300 (Apple, Image I/O) este o vulnerabilitate de tip out-of-bounds write în cadrul framework-ului Image I/O al Apple (folosit pentru procesarea imaginilor). Prin procesarea unei imagini malițioase, vulnerabilitatea poate provoca coruperea memoriei, ceea ce în condiții potrivite poate fi exploatat de atacator să execute cod pe dispozitiv.

Vizualizarea unei imagini de către unui utilizator, chiar dacă ascunde cod malițios, nu are ca efect și rularea codului respectiv. Eventual se afișează o imagine denaturată sau un cod de eroare. În cazul acestui atac s-a folosit însă o imagine în format Digital Negative (DNG). DNG este un format neprocesat pentru fotografii, standardizat de compania Adobe, cu extensia .dng. În esență un container TIFF care poate conține date brute de imagine (raw), segmente JPEG lossless, metadate complexe (EXIF, IFD/TIFF tags), şi blocuri de date compresate. Procesul de redare a imaginii implică manipularea directă a memoriei. Dacă programul care procesează un fișier DNG nu verifică corect limitele (bounds checking) sau face alocări greșite asupra dimensiunilor/bufferelor, un fişier malițios poate forţa scrierea în afara spațiului alocat de memorie făcând posibilă executarea de cod, ceea ce se întâmplă în cazul vulnerabilității CVE-2025-43300.

Majoritatea programelor generează automat o previzualizare (de tip thumbnail), iar din această cauză se poate rula cod rău intenționat, fără ca utilizatorul să aibă cunoștință.

Pe lângă aceste caracteristici, formatul este ușor de generat, un atacator putând construi lesne fișiere de tip DNG malițioase, folosind instrumente disponibile public.

Apple a recunoscut că este conștientă de rapoarte conform cărora această vulnerabilitate “ar fi fost exploatată într-un atac extrem de sofisticat împotriva unor indivizi țintă” și a emis patch-uri de urgență pentru iOS, iPadOS și macOS pentru a remedia această vulnerabilitate cu verificări îmbunătățite de limită (bounds checking).

Această vulnerabilitate nu pare să fi fost folosită într-o campanie masivă, ci mai degrabă într-un “atac extrem de sofisticat” vizând indivizi selectați. Dacă un dispozitiv vulnerabil procesase o imagine malițioasă atacatorul ar fi putut obține execuție de cod arbitrar, ceea ce în practică poate duce la compromis complet al dispozitivului (control, furt de date, instalare de spyware), inclusiv pentru “extragerea secretelor cripto”.

Pentru un astfel de atac, pe lângă vulnerabilitatea Image I/O s-a folosit și o vulnerabilitate în WhatsApp (CVE-2025-55177). Această vulnerabilitate este creată de o autorizare incompletă a mesajelor de sincronizare între dispozitive asociate aceluiași cont. În versiunile WhatsApp care prezintă această vulnerabilitate, un utilizator neautorizat ar fi putut forța procesarea conținutului de la un URL arbitrar pe dispozitivul țintă, adică mesajele de sincronizare ar permite atacatorului să injecteze conținut malițios care este procesat de WhatsApp pe dispozitivul victimei.

Vulnerabilitatea WhatsApp pare să fi fost folosită într-un atac de tip zero-click, victima nu trebuie să facă nimic (nu trebuie să apese pe un link, să deschidă un fișier), atacatorul doar trimite un mesaj de sincronizare malițios care este procesat automat. Datorită acestei naturi “fără interacțiune”, victimele nu ar fi știut că sunt compromise, făcând detectarea dificilă. Mesajul malițios poate conține referințe la URL-uri arbitrare care sunt apoi procesate pe dispozitivul victimei, potențial declanșând vulnerabilitatea Image I/O (CVE-2025-43300) ca parte din lanțul de atac. Astfel, WhatsApp era “punctul de acces” care permitea exploatarea ulterioară a vulnerabilității de sistem Apple, facilitând compromiterea dispozitivului la nivel mai profund.

Conform WhatsApp și rapoartelor, au fost notificate mai puțin de 200 de persoane care ar fi putut fi ținta acestei campanii. Aceasta sugerează că atacurile au fost foarte selective, probabil vizând persoane de interes (jurnaliști, activiști, persoane cu profil public) sau entități sensibile.

Pentru dispozitivele deja afectate, se impune reinstalarea completă a sistemului de operare și a tuturor aplicațiilor din surse sigure, aplicarea ultimelor actualizări de versiuni și de securitate. În cazul celorlalte, actualizarea aplicației WhatsApp și a iOS rezolvă această problemă fiind deja publicate actualizări care elimină vulnerabilitățile respective.