Experții în securitate cibernetică avertizează asupra unei vulnerabilități extrem de periculoase, care permite atacatorilor să preia controlul asupra telefonului fără ca utilizatorul să apese pe vreun link sau să deschidă un mesaj.
Direcția Națională de Securitate Cibernetică (DNSC) a emis o alertă privind două vulnerabilități critice — CVE-2025-55177 și CVE-2025-43300 — care afectează aplicațiile WhatsApp și WhatsApp Business pe iPhone și Mac, dar și sistemele de operare Apple iOS, iPadOS și macOS.
Cum funcționează atacul
Atacul este de tip „zero-click”, ceea ce înseamnă că dispozitivul poate fi infectat fără nicio acțiune din partea utilizatorului. Practic, atacatorul trimite către WhatsApp o imagine falsă în format .DNG (Digital Negative), un tip de fișier foto avansat. Aplicația preia automat această imagine pentru a genera o previzualizare, iar în acel moment se declanșează o eroare ascunsă care permite rularea unui program malițios.
Astfel, fără ca utilizatorul să deschidă mesajul, atacatorul poate instala aplicații de spionaj, accesa camera, microfonul sau datele din telefon.
Ce dispozitive sunt afectate
- WhatsApp pentru iOS: versiunile anterioare 2.25.21.73
- WhatsApp Business pentru iOS: versiunile anterioare 2.25.21.78
- WhatsApp pentru macOS: versiunile anterioare 2.25.21.78
- Apple iOS / iPadOS: versiunile mai vechi de 16.7
- macOS: versiunile anterioare Sonoma 14.7.8, Ventura 13.7.8 și Sequoia 15.6.1
Vulnerabilitatea CVE-2025-55177 permite descărcarea automată a conținutului de pe un link controlat de atacator, în timp ce CVE-2025-43300 afectează procesorul de imagini al dispozitivelor Apple, permițând execuția de cod rău intenționat.
Ce trebuie să faceți
- Actualizați imediat aplicațiile WhatsApp, WhatsApp Business și WhatsApp for Mac la cele mai recente versiuni.
- Instalați toate actualizările de sistem disponibile pentru iOS, iPadOS și macOS.
- Verificați dacă aveți activată actualizarea automată a aplicațiilor și sistemului de operare.
- Fiți atenți la comportamente neobișnuite ale telefonului, cum ar fi încetiniri bruște, consum crescut de baterie sau pornirea nejustificată a camerei ori microfonului.
Atacul „zero-click” descris de DNSC demonstrează cât de ușor pot fi compromise aplicații folosite zilnic de miliarde de oameni. Exploatarea unei simple imagini de tip .DNG poate oferi atacatorilor acces complet la dispozitiv.
Cea mai sigură măsură este actualizarea imediată a aplicației WhatsApp și a sistemului de operare.
