واتساپ روز جمعه اعلام کرد یک باگ امنیتی را در اپلیکیشنهای iOS و Mac خود برطرف کرده که برای هک مخفیانه دستگاههای اپل «کاربران خاص و هدفمند» مورد استفاده قرار میگرفت.
این غول پیامرسان متعلق به متا، در اطلاعیه امنیتی خود اعلام کرد که آسیبپذیری با شناسه رسمی CVE-2025-55177 را برطرف کرده است. این آسیبپذیری در کنار یک نقص جداگانه در iOS و Mac مورد استفاده قرار میگرفت که اپل هفته گذشته آن را برطرف کرد و با شناسه CVE-2025-43300 شناسایی میشود.
اپل در آن زمان اعلام کرد که این نقص در یک «حمله فوقالعاده پیچیده علیه افراد خاص و هدفمند» مورد استفاده قرار گرفته است. اکنون میدانیم که دهها کاربر واتساپ با این دو نقص هدف قرار گرفتهاند.
دونا او سیاربایل، رئیس آزمایشگاه امنیتی سازمان عفو بینالملل، در پستی در X این حمله را یک «کمپین جاسوسی پیشرفته» توصیف کرد که کاربران را در ۹۰ روز گذشته، یعنی از اواخر اردیبهشت ماه، هدف قرار داده است. به گفته او سیاربایل، این دو باگ یک حمله «بدون کلیک» هستند، به این معنی که برای نفوذ به دستگاه کاربر، نیازی به هیچگونه تعاملی از سوی قربانی، مانند کلیک کردن روی یک لینک، نیست.
این دو باگ در کنار هم به مهاجم اجازه میدهند تا از طریق واتساپ یک اکسپلویت مخرب ارسال کند که قادر به سرقت اطلاعات از دستگاه اپل کاربر است.
به گفته او سیاربایل، که یک کپی از اعلان تهدید ارسالی واتساپ به کاربران آسیبدیده را منتشر کرد، این حمله قادر به «به خطر انداختن دستگاه شما و دادههای موجود در آن، از جمله پیامها» بوده است.
هنوز مشخص نیست چه کسی یا کدام فروشنده نرمافزارهای جاسوسی پشت این حملات قرار دارد.
مارگاریتا فرانکلین، سخنگوی متا، در پاسخ به خبرنگار تأیید کرد که این شرکت این نقص را «چند هفته پیش» شناسایی و وصله کرده و «کمتر از ۲۰۰» اعلان برای کاربران آسیبدیده واتساپ ارسال کرده است.
سخنگوی این شرکت در پاسخ به این سوال که آیا واتساپ شواهدی برای نسبت دادن این هکها به یک مهاجم یا فروشنده نظارتی خاص دارد، اظهار نظری نکرد.
این اولین بار نیست که کاربران واتساپ هدف نرمافزارهای جاسوسی دولتی قرار میگیرند، نوعی بدافزار که قادر است با استفاده از آسیبپذیریهایی که برای فروشنده ناشناخته است، به دستگاههای کاملاً بهروزرسانیشده نفوذ کند.
در اردیبهشت ماه، یک دادگاه در ایالات متحده به شرکت سازنده نرمافزارهای جاسوسی NSO Group دستور داد تا به دلیل کمپین هک سال ۱۳۹۸ که به دستگاههای بیش از ۱۴۰۰ کاربر واتساپ با یک اکسپلویت قادر به نصب نرمافزار جاسوسی پگاسوس NSO نفوذ کرد، ۱۶۷ میلیون دلار خسارت به واتساپ بپردازد. واتساپ با استناد به نقض قوانین فدرال و ایالتی هک و همچنین شرایط خدمات خود، پرونده حقوقی علیه NSO تشکیل داد.
در اوایل سال جاری، واتساپ یک کمپین جاسوسی را مختل کرد که حدود ۹۰ کاربر، از جمله روزنامهنگاران و اعضای جامعه مدنی در سراسر ایتالیا را هدف قرار داده بود. دولت ایتالیا دخالت خود در این کمپین جاسوسی را رد کرد. شرکت Paragon، که نرمافزار جاسوسی آن در این کمپین مورد استفاده قرار گرفت، بعداً به دلیل عدم تحقیق در مورد سوء استفاده، دسترسی ایتالیا به ابزارهای هک خود را قطع کرد.
آیا اعلانی مبنی بر به خطر افتادن دستگاه خود دریافت کردهاید؟ از طریق نام کاربری zackwhittaker.1337 در Signal به طور ایمن با این خبرنگار تماس بگیرید.
منبع: techcrunch.com
