WhatsApp, aplikace vlastněná společností Meta, oznámila opravu závažné bezpečnostní chyby, která byla zneužívána k napadení zařízení Apple bez jakéhokoliv zásahu uživatele. Zranitelnost umožnila útočníkům doručit sledovací software prostřednictvím tzv. „zero-click“ útoku.
Uživatele Apple zařízení v aplikaci WhatsApp ohrožovala závažná chyba
“Zero-click” chyba (nebo také zero-click útok) je bezpečnostní zranitelnost, při které útočník dokáže vzdáleně na zařízení spustit škodlivý kód bez jakékoli interakce oběti. Oběť tedy nemusí například kliknout na odkaz, otevřít zprávu nebo provést jakýkoli jiný krok – škodlivý kód se aktivuje automaticky po přijetí zprávy, návštěvě škodlivé webové stránky nebo jiném procesu zneužití zranitelnosti. Tento typ útoků je nebezpečný tím, že je velmi těžké jej detekovat a může být použit k instalaci spywaru, backdoorů nebo jiného škodlivého softwaru bez vědomí uživatele.
Podle bezpečnostního bulletinu WhatsAppu byla chyba označená jako CVE-2025-55177 a byla aktivně využívána ve spojení s další zranitelností v systémech iOS a macOS, kterou Apple opravil minulý týden (CVE-2025-43300). Útok byl podle Applu mimořádně sofistikovaný a zaměřoval se pouze na specifické cíle. Na rozdíl od běžných phishingových útoků zero-click útok nevyžaduje žádnou akci ze strany oběti.
Zdroj: X
Útočníkům stačí zaslat speciálně upravenou zprávu přes WhatsApp, která automaticky zneužije zranitelnosti a umožní vzdálený přístup k zařízení včetně zpráv, souborů a osobních dat. Podle Donnchy Ó Cearbhailla z Amnesty International’s Security Lab šlo o pokročilou špionážní kampaň, která probíhala od konce května letošního roku a zasáhla desítky uživatelů během 90 dnů.
Meta potvrdila, že zranitelnost objevila a opravila před několika týdny. Podle mluvčí Margarity Franklin bylo zasláno méně než 200 notifikací uživatelům, kteří byli útokem postiženi. Meta však neuvedla, zda má důkazy o tom, která skupina za útokem stála. Útok navazuje na sérii incidentů, v nichž byla WhatsApp zneužita ke špehování novinářů, aktivistů nebo jiných uživatelů. V roce 2019 například izraelská firma NSO Group infikovala přes 1 400 zařízení spywarem Pegasus. WhatsApp později NSO zažaloval a americký soud jí letos v květnu nařídil zaplatit 167 milionů dolarů jako odškodné.
Letos WhatsApp přerušil další špionážní kampaň, která zasáhla kolem 90 uživatelů včetně novinářů a zástupců občanského sdružení v Itálii. I přesto, že italská vláda popřela jakoukoliv účast, dodavatel špionážního softwaru — společnost Paragon — následně přerušil spolupráci s Itálií kvůli nevyšetřenému zneužití svých nástrojů.
Zdroj: techcrunch.com