باگ امنیتی Zero-click علیه کاربران اپل در واتساپ از بین بردن شد_رنگو

واتساپ اظهار کرده که یک صدمه‌پذیری امنیتی جدی در نسخه‌های iOS و Mac خود را رفع کرده است. این نقص امنیتی که با شناسه CVE-2025-55177 ثبت شده می بود، به مهاجمان اجازه می‌داد بدون نیاز به هیچ کاری از سوی کاربر، دستگاه‌های Apple برخی افراد اشکار را مقصد قرار دهند. این دعوا همراه با یک حفره دیگر در سیستم‌عامل iOS و Mac انجام می‌شد که هفته قبل توسط Apple با شناسه CVE-2025-43300 از بین بردن شد. اپل پیش‌تر اظهار کرده می بود این صدمه‌پذیری در یک دعوا زیاد پیچیده علیه گروهی محدود از کاربران مورد منفعت گیری قرار گرفته است و اکنون اشکار شده ده‌ها کاربر WhatsApp مقصد این زنجیره صدمه‌پذیری قرار گرفته‌اند.

به نقل از قسمت امنیت رسانه اخبار فناوری تکنا، بر پایه تحلیل Donncha Ó Cearbhaill از قسمت امنیتی Amnesty International، این دعوا در واقع یک کمپین جاسوسی پیشرفته بوده که از آخر ماه مه تا بحال و طی نزدیک به ۹۰ روز اجرا شده است. او توضیح داده که این نقص‌ها به طور دعوا صفر کلیک عمل می‌کردند، یعنی کاربر نیازی به باز کردن لینک یا انجام هیچ کاری نداشت و دستگاه به طور خودکار آلوده می‌شد. ترکیب این دو حفره به مهاجم اجازه می‌داد از طریق واتساپ کدی مخرب را به دستگاه Apple قربانی منتقل کند که توانایی سرقت اطلاعات از جمله مطلب‌ها را داشت. Ó Cearbhaill این چنین تصویری از اخطاری که WhatsApp برای کاربران صدمه‌دیده ارسال کرده انتشار کرده و پافشاری کرده می بود که این دعوا می‌توانست کل داده‌های حاضر روی دستگاه را در معرض خطر قرار دهد.

تا این مدت اشکار نیست چه گروهی یا کدام شرکت سازنده ابزار جاسوسی پشت این حملات بوده است. سخنگوی Meta به نام Margarita Franklin تایید کرده که شرکت چند هفته قبل این نقص را شناسایی و رفع کرده و کمتر از ۲۰۰ هشدار برای کاربران قربانی ارسال شده است. او با این حال حاضر به توضیح درمورد این که آیا شواهدی برای انتساب این دعوا به یک مهاجم یا فروشنده خاص وجود دارد یا نه نشد. این اتفاق بار دیگر مشخص می کند که نرم‌افزارهای جاسوسی دولتی هم چنان از صدمه‌پذیری‌های روز صفر برای نفوذ به دستگاه‌های به‌روز منفعت گیری می‌کنند.

این نخستین بار نیست که امنیت واتساپ مقصد حملات جاسوسی قرار می‌گیرد. در ماه مه سال جاری میلادی یک دادگاه آمریکایی شرکت NSO Group را ملزم کرد ۱۶۷ میلیون دلار به واتساپ غرامت بپردازد. این حکم مربوط به کارزاری در سال ۲۰۱۹ می بود که طی آن بیشتر از ۱۴۰۰ کاربر واتساپ با منفعت‌گیری از یک اکسپلویت آلوده به جاسوس‌افزار Pegasus اسرائیلی مورد مقصد قرار گرفته بودند. واتساپ علیه NSO شکایت کرده می بود و این شرکت را به نقض قوانین هک فدرال و ایالتی و این چنین شرایط خدمات خود متهم کرد. در اغاز همین سال نیز WhatsApp یک کمپین جاسوسی دیگر را مختل کرد که نزدیک به ۹۰ نفر از جمله روزنامه‌نگاران و فعالان مدنی در ایتالیا را مقصد گرفته می بود. دولت ایتالیا دخالت در این عملیات را تکذیب کرد اما شرکت Paragon که ابزارهای جاسوسی آن مورد منفعت گیری قرار گرفته می بود، بعداً دسترسی ایتالیا به فناوری خود را مسدود کرد چون این سرزمین در عرصه سوءاستفاده از این ابزارها تحقیق نکرده می بود.