WhatsApp 修复了用于利用间谍软件攻击苹果用户的“零点击”漏洞
08/30208 浏览综合
WhatsApp 周五表示,已修复其 iOS 和 Mac 应用程序中的一个安全漏洞,该漏洞被用于秘密入侵“特定目标用户”的 Apple 设备。
这家 Meta 旗下的即时通讯应用巨头在其安全公告中表示,它已经修复了这个漏洞, 官方编号为 CVE-2025-55177 ,该漏洞与 iOS 和 Mac 中发现的另一个漏洞同时出现,苹果公司已于上周修复了该漏洞, 编号为 CVE-2025-43300 。
苹果公司当时表示,该漏洞被用于“针对特定目标人群的极其复杂的攻击”。现在我们知道,数十名 WhatsApp 用户成为了这两个漏洞的攻击目标。
国际特赦组织安全实验室负责人 Donncha Ó Cearbhaill 在 X 上的一篇文章中将此次攻击描述为“高级间谍软件活动”,该活动在过去 90 天内(即自 5 月底以来)一直针对用户。Ó Cearbhaill 将这两个漏洞描述为“零点击”攻击,这意味着它不需要受害者进行任何交互(例如点击链接)即可入侵其设备。
这两个漏洞结合在一起,使得攻击者能够通过 WhatsApp 发起恶意攻击,窃取用户 Apple 设备中的数据。
根据 Ó Cearbhaill 发布的 WhatsApp 向受影响用户发送的威胁通知副本,此次攻击能够“危及您的设备及其包含的数据,包括消息”。
目前还不清楚此次攻击的幕后黑手是谁,或者哪个间谍软件供应商。
当 TechCrunch 联系 Meta 时,其发言人玛格丽塔·富兰克林 (Margarita Franklin) 证实,该公司“几周前”发现并修补了该漏洞,并且该公司向受影响的 WhatsApp 用户发送了“不到 200 条”通知。
当被问及 WhatsApp 是否有证据将黑客攻击归咎于特定的攻击者或监控供应商时,该发言人并未透露。
这并不是 WhatsApp 用户第一次成为政府间谍软件的攻击目标,这种恶意软件能够侵入已完全修补的设备,并利用供应商不知道的漏洞(即零日漏洞)。
今年 5 月,美国一家法院裁定间谍软件制造商 NSO 集团向 WhatsApp 支付 1.67 亿美元赔偿金, 原因是该公司在 2019 年发起了一次黑客攻击活动,利用一个能够植入 NSO Pegasus 间谍软件的漏洞,入侵了超过 1400 名 WhatsApp 用户的设备。WhatsApp 对 NSO 提起了诉讼 ,称其违反了联邦和州的黑客法律以及其自身的服务条款。