WhatsApp近日修補了一個嚴重的零點擊安全漏洞CVE-2025-55177,該漏洞曾被用於零日攻擊中針對特定目標用戶。這個零點擊漏洞影響iOS和macOS平台上的WhatsApp應用程式,攻擊者無需用戶進行任何操作即可入侵設備。
根據WhatsApp官方安全公告,此漏洞源於連結設備同步訊息的授權機制不完整,使得攻擊者能夠強制目標設備處理來自任意惡意網址的內容。若將這個漏洞與Apple平台的作業系統層級漏洞CVE-2025-43300結合使用,形成了一個極其複雜的攻擊鏈。
受影響版本與修補情況
此次漏洞影響的版本包括iOS版WhatsApp 2.25.21.73之前的版本、iOS版WhatsApp Business 2.25.21.78之前的版本,以及Mac版WhatsApp 2.25.21.78之前的版本。WhatsApp已於7月28日針對iOS版本發布修補程式,並於8月4日針對iOS商業版和Mac版發布相應更新。
Apple公司在本月稍早已針對CVE-2025-43300發布緊急更新,該公司同樣表示這個漏洞曾被用於「極其複雜的攻擊」中。CVE-2025-43300是ImageIO框架中的邊界外寫入漏洞,在處理惡意圖像時可能導致記憶體損毀。
攻擊規模與影響
國際特赦組織安全實驗室負責人Donncha Ó Cearbhaill表示,WhatsApp已警告部分用戶他們在過去90天內成為先進間諜軟體活動的目標。WhatsApp向受影響用戶發送的威脅通知中建議執行設備恢復原廠設定,並保持作業系統和軟體的最新狀態。
根據WhatsApp的聲明,它們已向不到200名可能受到攻擊的用戶發送了應用程式內威脅通知。卡達國家網路安全局指出,此漏洞的嚴重性在於其處理連結設備間同步訊息的機制,可能讓駭客獲得受害者設備的初始存取權限。
零點擊攻擊特性
這次攻擊採用零點擊方式進行,意味著受害者無需點擊連結、開啟檔案或執行任何動作,設備就可能遭到入侵
。攻擊者利用WhatsApp的設備同步機制漏洞,強制目標設備處理惡意網址的內容,再結合Apple的圖像處理漏洞,實現惡意程式安裝和資料竊取。
Ó Cearbhaill在社群媒體上指出,初步跡象顯示這次WhatsApp攻擊同時影響iPhone和Android用戶,其中包括公民社會人士。他強調政府間諜軟體持續對記者和人權捍衛者構成威脅。
這並非WhatsApp首次遭遇先進間諜軟體攻擊。2019年,該通訊應用曾對間諜軟體製造商NSO Group提起訴訟,指控其利用Pegasus間諜軟體入侵超過1400名用戶。美國法院最終裁定NSO Group需向WhatsApp賠償1.67億美元。
今年3月,WhatsApp也修補了另一個零日漏洞,該漏洞被用於安裝Paragon公司的Graphite間諜軟體。這些事件顯示,通訊應用程式持續面臨來自國家級威脅行為者的攻擊壓力。
安全防護建議
面對此類複雜的間諜軟體威脅,用戶應採取多層次防護措施。首要任務是立即更新WhatsApp應用程式至最新版本,確保已安裝相關安全修補程式。同時,用戶應定期更新作業系統,因為許多攻擊需要結合多個漏洞才能成功。
對於可能成為高價值目標的用戶,如記者、人權工作者或政治敏感人士,建議定期檢查設備是否出現異常行為,並考慮使用額外的安全工具進行防護。如收到WhatsApp的威脅通知,應認真對待並按照建議執行設備重置。
此次事件再次凸顯了現代通訊軟體面臨的安全挑戰,特別是零點擊攻擊技術的不斷演進。攻擊者越來越擅長將多個看似無害的漏洞串聯起來,形成威力強大的攻擊鏈。這要求軟體開發商不僅要關注自身產品的安全性,還需要與作業系統廠商密切合作,共同應對跨平台的安全威脅。