Zero-click эксплойт в WhatsApp: безобидная картинка даёт полный контроль над iPhone без единого действия жертвыЭксплойт запускается при получении сообщения и работает на iOS, macOS и iPadOS.Исследователи из DarkNavyOrg рассказали о цепочке «нулевого клика» в WhatsApp, которая позволяет удалённо выполнять код на устройствах под управлением iOS, macOS и iPadOS. Эксплуатация построена на двух уязвимостях — CVE-2025-55177 и CVE-2025-43300 — и не требует от жертвы никаких действий: достаточно получить вредоносное сообщение.
По данным авторов, отправной точкой атаки становится CVE-2025-55177 — критическая логическая ошибка в обработке входящих сообщений. В приложении отсутствует корректная проверка того, что сообщение действительно пришло с доверенного связанного устройства. Из-за этого злоумышленник может подсунуть payload, который выглядит как легитимный и проходит первичные фильтры безопасности.
Дальше срабатывает CVE-2025-43300 — сбой в библиотеке разбора DNG-файлов (формат «цифрового негатива»). Специально сформированное изображение вызывает повреждение памяти при обработке, что открывает дорогу к удалённому выполнению кода. В демонстрации proof-of-concept показан скрипт, который авторизуется в WhatsApp, генерирует «битый» DNG и отправляет его на целевой номер, после чего компрометация проходит тихо и незаметно.
Подобная уязвимость представляет серьёзную угрозу для пользователей WhatsApp на iPhone, iPad и Mac. Успешная атака потенциально даёт полный контроль над устройством: доступ к данным и переписке, скрытое наблюдение, установку дополнительного вредоносного ПО. Отсутствие необходимости в кликах и визуальных признаков делает обнаружение особенно сложным.
Случай ещё раз подчёркивает, насколько опасны ошибки в парсерах сложных форматов: они регулярно становятся входной точкой для RCE, потому что работают с непроверенными внешними данными. DarkNavyOrg также упоминает параллельное исследование отдельной проблемы на устройствах Samsung (CVE-2025-21043).
Пока анализ продолжается, пользователям рекомендуют поддерживать WhatsApp и операционные системы в актуальном состоянии, чтобы как можно быстрее получить исправления. Ожидается, что WhatsApp и Apple закроют критические уязвимости в ближайших обновлениях.Источник
|
Данная статья, лишний раз подтверждает, что ломают если надо все. И нет безопасных мессенджеров. Но в сети "надо" хэйтить Мах. Глупо и беспощадно верить всему, что рассказывают про Мах и черпать гнилую информацию из недостоверных источников, а порой просто хайпующих на теме.
Есть вот например полный профессиональный разбор Макса. Рекомендую к просмотру. https://www.youtube.com/watch?v=1k6ululNBbQ
|
Текущее время: 09-Окт 13:19
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
|
|
!ВНИМАНИЕ!
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете, чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами, и мы незамедлительно удалим ее. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несет ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!
Вход
Регистрация![[Цитировать]](./styles/templates/shift/images/lang/ru/icon_quote.gif "Ответить с цитатой"){kind=icon}
Отправлено: 
Вверх