رفع آسیب‌پذیری خطرناک واتساپ

واتساپ روز جمعه اعلام کرد که یک آسیب‌پذیری امنیتی خطرناک را در اپلیکیشن‌های iOS و Mac خود برطرف کرده است.

به گزارش تک‌ناک، این شرکت وابسته به متا در مشاوره امنیتی خود تأکید کرد که این نقص امنیتی با شناسه CVE-2025-55177 برای نفوذ مخفیانه به دستگاه‌های اپل برخی کاربران هدفمند به‌کار گرفته می‌شد. این آسیب‌پذیری در کنار یک باگ جداگانه در iOS و Mac مورد استفاده قرار می‌گرفت، که اپل هفته گذشته با شناسه CVE-2025-43300 آن را رفع کرده بود.

شرکت اپل پیش‌تر هشدار داده بود که این نقص در یک «حمله بسیار پیچیده» علیه افراد مشخص استفاده شده است. اکنون روشن شده است که ده‌ها کاربر واتساپ با ترکیب این دو باگ، مورد هدف قرار گرفته‌اند.

به گفته Donncha Ó Cearbhaill، رئیس آزمایشگاه امنیتی سازمان عفو بین‌الملل (Amnesty International)، این حمله یک «کمپین پیشرفته جاسوس‌افزاری» بوده، که طی ۹۰ روز گذشته – از پایان ماه مه – کاربران را هدف قرار داده است. او توضیح داد که این حمله از نوع zero-click است؛ به این معنا که قربانی برای آلوده‌ شدن به هیچ اقدامی مانند کلیک روی لینک نیاز ندارد.

زنجیره این دو آسیب‌پذیری خطرناک به مهاجمان اجازه داده است تا از طریق واتساپ، اکسپلویت مخربی را به دستگاه‌های اپل ارسال کنند، که قادر به سرقت داده‌های حساس، از جمله پیام‌ها بوده است. بر اساس کپی اعلان تهدیدی که واتساپ برای کاربران آسیب‌دیده ارسال کرده و توسط Ó Cearbhaill منتشر شده، این حمله توانسته است کنترل دستگاه و داده‌های درون آن را به خطر بیندازد.

هنوز مشخص نیست که چه فرد یا گروهی، یا کدام فروشنده جاسوس‌افزار، پشت این حملات و آسیب‌پذیری خطرناک واتساپ قرار دارد. Margarita Franklin، سخنگوی متا در گفت‌وگو با TechCrunch تأیید کرد که شرکت «چند هفته پیش» این نقص را کشف و وصله کرده و کمتر از ۲۰۰ اعلان برای کاربران آسیب‌دیده ارسال کرده است. اما او در پاسخ به پرسشی درباره ارتباط این حملات با یک عامل مشخص یا فروشنده نظارتی پاسخی نداد.

این نخستین‌بار نیست که واتساپ هدف جاسوس‌افزارهای دولتی قرار می‌گیرد. شرکت NSO Group در سال ۲۰۱۹ با استفاده از یک اکسپلویت موفق شد به دستگاه بیش از ۱۴۰۰ کاربر نفوذ کند و جاسوس‌افزار Pegasus خود را نصب نماید. یک دادگاه ایالات متحده در ماه مه امسال، این شرکت را به پرداخت ۱۶۷ میلیون دلار غرامت به واتساپ محکوم کرد.

همچنین اوایل سال جاری، واتساپ یک کمپین جاسوسی دیگر را مختل کرد، که حدود ۹۰ کاربر شامل روزنامه‌نگاران و فعالان مدنی در ایتالیا را هدف گرفته بود. در این ماجرا دولت ایتالیا هرگونه دخالت را رد کرد، اما شرکت Paragon که جاسوس‌افزار آن در این حمله استفاده شد، پس از انتقادها دسترسی ایتالیا را به ابزارهای خود قطع کرد.

واتساپ به کاربران هشدار داده است که در صورت دریافت اعلان مربوط به خطر امنیتی، اقدامات لازم برای ایمن‌سازی دستگاه خود را انجام دهند. همچنین کاربران می‌توانند برای ارتباط امن با خبرنگار TechCrunch از طریق Signal با نام کاربری zackwhittaker.1337 تماس برقرار کنند.