Mai multe atacuri extrem de periculoase, care se folosesc de două vulnerabilităţi, CVE-2025-55177 şi CVE-2025-43300 pentru a forma un lanţ de tip "zero-click", cu scopul de a livra malware, au fost observate în ultima perioadă, atenţionează Directoratul Naţional de Securitate Cibernetică, printr-o postare pe site-ul propriu.
"Procesul funcţionează astfel: atacatorul face ca aplicaţia WhatsApp să primească sau să preia automat o imagine (în cazul acestui atac se foloseşte o imagine DNG) de pe un server pe care-l controlează. La primire, aplicaţia încearcă să genereze o previzualizare a fişierului, iar componenta Apple responsabilă cu manipularea imaginilor (ImageIO) întâlneşte date special construite, această situaţie cauzând corupere de memorie ce poate conduce la rularea de cod maliţios", explică reprezentanţii DNSC.
Malware livrat fără click
Potrivit acestora, "Nu da click pentru a nu pica în capcana hackerilor" este, de obicei, o afirmaţie corectă şi, în unele cazuri, este şi suficientă pentru a nu fi victima unui atac cibernetic, însă acest lucru nu este valabil şi în cazul atacului zero-click. Un atac de tip "zero-click" poate compromite un dispozitiv fără absolut nicio interacţiune necesară din partea victimei (nu este necesar să dea click, să deschidă un ataşament sau să accepte permisiuni).
Experţii în securitatea cibernetică mai precizează că DNG este un format neprocesat pentru fotografii, standardizat de Adobe. Este practic un fişier relativ mare cu structură internă foarte complexă (tag-uri, offset-uri, tabele, alte blocuri de date), metadate bogate şi previzualizări încorporate. Multe implementări creează automat previzualizări sau extrag thumbnails, procesele fiind declanşate automat, toate acestea făcând posibilă rularea exploitului fără implicarea utilizatorului. Pe lângă aceste caracteristici, formatul este uşor de generat, un atacator putând construi uşor DNG-uri maliţioase folosind instrumente disponibile public, scrie Agerpres.
În ceea ce priveşte cele două vulnerabilităţi, DNSC subliniază că CVE-2025-55177 este o vulnerabilitate de tip "incomplete authorization" - exploatată separat, aceasta ar permite unui utilizator nelegitim să declanşeze procesarea de conţinut provenit dintr-un URL arbitrar pe dispozitivul ţintei, iar CVE-2025-43300 este o vulnerabilitate de tip "out-of-bounds write" prezentă în Apple iOS, iPadOS şi macOS, mai exact în ImageIO (procesorul de imagini din IOS/macOS). În urma exploatării acesteia, se poate ajunge la executarea de cod arbitrar de la distanţă.
"În cazul acestui tip de atac, WhatsApp (prin vulnerabilitatea CVE-2025-55177) acceptă procesarea conţinutului unui fişier trimis de pe un link prin mecanismul de sincronizare între două dispozitive, fără să verifice corect dacă solicitarea provine de la o entitate autorizată. Asta face posibil ca un utilizator nelegitim să forţeze clientul să descarce resurse de la o adresă controlată de atacator. Apoi, prin vulnerabilitatea CVE-2025-43300, fişierul de tip imagine DNG creat special de atacator este procesat de sistem, care nu verifică corect dimensiunea şi structura datelor din fişier. Acest lucru duce la coruperea memoriei şi îi permite atacatorului să ruleze cod pe dispozitiv, instalând spyware şi obţinând acces la informaţii şi resurse sensibile precum date, cameră sau microfon", mai explică specialiştii.
Dispozitive și versiuni WhatsApp afectate
Tehnologiile şi versiunile afectate sunt: WhatsApp pentru iOS (versiunile înainte de 2.25.21.73), WhatsApp Business pentru iOS (versiunile înainte de 2.25.21.78), WhatsApp pentru macOS (versiunile înainte de 2.25.21.78), Apple (ImageIO - iOS versiunile înainte de 16.7, respectiv versiunile iPadOS înainte de 16.7), macOS (versiunile înainte de Sonoma 14.7.8, Ventura 13.7.8, Sequoia 15.6.1).
Recomandările DNSC
DNSC recomandă actualizarea imediată a aplicaţiilor "WhatsApp", "WhatsApp Business" şi "WhatsApp for Mac" la cele mai recente versiuni disponibile, aplicarea tuturor update-urilor Apple disponibile pentru iOS, iPadOS şi macOS, informarea în legătură cu tipurile de atacuri aflate în trend şi menţinerea unei bune igiene digitale, urmărirea alertelor de securitate oficiale, activarea setărilor de protecţie disponibile pe dispozitive şi tratarea cu seriozitate a oricărei notificări legate de siguranţa contului sau a aplicaţiilor.
"Exploatarea CVE-2025-55177 împreună cu CVE-2025-43300 descrie perfect modelul atacurilor sofisticate: o problemă la nivelul unei aplicaţii larg răspândite (folosită ca vector de livrare) coroborată cu o vulnerabilitate în componenta de parsare a sistemului de operare (punctul de execuţie). Exploatarea DNG-ului ca fişier "încărcat" şi procesat automat a permis atacuri zero-click, greu de detectat de utilizatorii finali. Măsura imediată, eficientă şi indispensabilă este actualizarea promptă a aplicaţiilor şi a sistemelor de operare", concluzionează reprezentanţii DNSC.
Comentează