Через уязвимость WhatsApp хакеры получили способ взлома iPhone с помощью картинки без участия пользователя
Изображение: NordWood Themes (unsplash)
Исследователи из команды DarkNavyOrg выявили критическую лазейку в системе безопасности WhatsApp, которая даёт злоумышленникам возможность захватить контроль над устройствами Apple — причём без кликов, подтверждений и даже уведомлений. Угроза касается iPhone, iPad и компьютеров Mac — владельцу достаточно лишь получить вредоносное сообщение, чтобы устройство оказалось под контролем.
Атака устроена поэтапно. Вначале используется уязвимость, получившая идентификатор CVE-2025-55177. WhatsApp не проводит должной проверки источника сообщения, что позволяет подменить отправителя и сымитировать, будто сообщение пришло от самого пользователя. На этом этапе создаётся иллюзия легитимности, что даёт второму этапу полный простор.
Далее в ход идёт уязвимость CVE-2025-43300, связанная с библиотекой, обрабатывающей изображения формата DNG.
Во вредоносное сообщение встраивается модифицированный графический файл, который вызывает сбой в памяти во время автоматической обработки. В результате атакующий получает возможность выполнять произвольный код на устройстве — фактически захватывая контроль над всей системой.
Наиболее тревожным остаётся то, что пользователь не получает никаких визуальных сигналов. Ни оповещения, ни признаков доставки сообщения — всё происходит в фоновом режиме. После успешной атаки взломщик может читать переписку, перехватывать звонки, загружать личные фотографии и незаметно внедрять другие вредоносные инструменты.
Уязвимость затрагивает все версии WhatsApp, работающие в среде iOS, iPadOS и macOS. Разработчики мессенджера и компании Apple уже уведомлены о проблеме, но на момент публикации обновления безопасности пока не выпущены. До появления патчей эксперты рекомендуют быть особенно внимательными, даже при получении сообщений от доверенных контактов.
Специалисты подчёркивают, что атаки формата «zero-click» становятся всё более утончёнными. Отсутствие необходимости взаимодействия с вредоносным содержимым делает их особенно опасными в условиях корпоративной эксплуатации, где один компрометированный смартфон может открыть доступ к защищённой внутренней инфраструктуре.
WhatsApp принадлежит компании Meta, которая запрещена в РФ и признана экстремистской.
