В WhatsApp экстренно закрыли опасную уязвимость, которой активно пользовались хакеры
Почему WhatsApp снова под ударом: разбор zero-click уязвимости, которую нельзя было игнорировать
В феврале 2025 года WhatsApp закрыл очередную критическую дыру. CVE-2025-55177 — это не просто баг. Это zero-click уязвимость, которая позволяла хакерам запускать любой URL на вашем устройстве без единого вашего действия. Без клика, без перехода по ссылке. Просто факт получения сообщения — и ты жертва.
Многие думают: «Я ничего не качаю — я в безопасности». Нет. Zero-click атаки — это высший пилотаж кибершпионажа. Они не требуют от пользователя вообще ничего. Сообщение пришло, система его обработала — код выполнился. Всё.
Давайте разберемся, что произошло, как это работало и что делать, если вы попали под раздачу.
Две дыры, одна цепочка
Сама уязвимость CVE-2025-55177 скрывалась в механизме синхронизации привязанных устройств. WhatsApp для iOS (версии ниже 2.25.21.73), WhatsApp Business для iOS (2.25.21.78) и WhatsApp для Mac (2.25.21.78) — вот список уязвимых сборок. Ошибка: неполная проверка авторизации при синхронизации. Теоретически злоумышленник мог подсунуть вашему мессенджеру ссылку, и та обрабатывалась автоматически.
Но одной этой дыры было мало. Для полной атаки хакеры использовали ещё одну — на уровне ОС Apple. CVE-2025-43300 — баг в iOS и macOS. Apple выпустила экстренный патч ещё до WhatsApp. Совпадение? Вряд ли. Скорее всего, спецслужбы или коммерческие поставщики шпионского ПО уже вовсю эксплуатировали связку.
| Уязвимость | Где | Статус |
|---|---|---|
| CVE-2025-55177 | WhatsApp (iOS, Mac, Business) | Исправлена в версиях 2.25.21.73+ |
| CVE-2025-43300 | iOS / macOS | Исправлена Apple в феврале 2025 |
Как это работает (пошагово, без мистики)
1. Жертве приходит сообщение в WhatsApp. Это может быть даже пустой стикер или вложение. Пользователь его не видит — обработка фоновой синхронизации запускает код.
2. Через CVE-2025-55177 мессенджер выполняет запрос к вредоносному URL. Этот URL использует баг в iOS (CVE-2025-43300), чтобы получить доступ к ядру системы.
3. Всё. На устройство загружается шпионское ПО. Без диалогов, без разрешений, без уведомлений.
По данным Amnesty International, WhatsApp уже разослал предупреждения некоторым пользователям. Люди узнали, что их устройства были скомпрометированы в течение последних 90 дней. При этом компания подчеркивает: патч WhatsApp защищает от дальнейших атак через мессенджер, но устройство может оставаться заражённым или уязвимым к другим векторам.
Что делать, если вы получили такое уведомление?
Вот микро-инструкция, которую я рекомендую каждому, кто хоть раз получал странные сообщения:
- Не паникуйте. Уведомление — это хорошо. Значит, WhatsApp заметил аномалию.
- Сделайте полный сброс устройства до заводских настроек. Это единственный способ гарантированно удалить шпионское ПО уровня нулевого дня. Простое обновление ОС не удалит уже внедрённый код.
- После сброса — восстановите данные не из бэкапа, а вручную. Бэкап мог быть заражён. Заново скачайте приложения из App Store.
- Обновите WhatsApp и все приложения до последних версий. Потом проверьте настройки конфиденциальности.
Личное наблюдение автора: я заметил, что многие пользователи игнорируют уведомления безопасности в WhatsApp — мол, спам. Но если пришло предупреждение от самого мессенджера с рекомендацией сброса — это красный флаг. Не отмахивайтесь. Zero-click атаки — это не хакеры-подростки, а профессиональные группы с бюджетом в миллионы долларов. Они не охотятся на всех подряд. Если вы получили уведомление, значит, вы для кого-то важны.
Второй случай за год — тенденция?
В марте 2025 WhatsApp уже закрывал zero-click уязвимость, через которую внедряли шпионское ПО Graphite от компании Paragon. Тогда Citizen Lab забила тревогу. Сейчас — ещё одна дыра. Итого за полгода две zero-click уязвимости в одном мессенджере. Это много.
Моё мнение: WhatsApp стал слишком сложным. Функции синхронизации устройств, бизнес-инструменты, интеграции — каждая новая фича увеличивает поверхность атаки. И хотя компания оперативно выпускает патчи, факт остаётся фактом: zero-click баги живут в коде месяцами, пока их не находят исследователи или не начинают эксплуатировать хакеры.
Пользователям стоит задуматься: а нужны ли вам все эти «удобства»? Может, для обычных разговоров хватит Signal? Но это уже другая история.
Резюме от автора
Zero-click атаки — это не страшилка. Это реальность 2025 года. Если вы получили уведомление от WhatsApp о возможном взломе — действуйте сразу. Сброс устройства, смена паролей, отключение всего, что синхронизируется без вашего ведома. И перестаньте думать, что вас это не касается. Касается — когда вы становитесь целью. А цель может быть любой: журналист, активист, менеджер крупной компании или просто человек с доступом к чувствительной информации.
Будьте готовы. Обновляйтесь. И не верьте, что достаточно просто «не нажимать на ссылки».
