WhatsApp, iOS ve MAC kullanıcılarına sıfır tıkanık casus yazılım saldırılarına izin veren kritik bir 0 günlük (CVE-2025-55177) yamaladı. Kusur veri çalmak için kullanıldı. Korumalı kalmak için uygulamanızı şimdi güncelleyin.
WhatsApp, Apple cihazları için “belirli hedefli kullanıcılar” ın iPhone’larını ve Mac’lerini gizlice tehlikeye atmak için kullanılan uygulamalarında ciddi bir güvenlik açığı yamaladığını açıkladı.
CVE-2025-55177 olarak tanımlanan hata, WhatsApp’ın iç güvenlik ekibi tarafından keşfedildi. Şirket, resmi danışmanlığında, kusurun iki ayrı güvenlik açığını bağlayan sofistike bir saldırı zincirinin parçası olduğunu açıkladı. Bu, bir kurbanın bir bağlantıyı tıklamasını, bir dosyayı açmasını veya cihazlarının tehlikeye atılması için başka bir işlem yapmasını gerektirmeyen sıfır tıkalı bir saldırı yöntemidir.
Kusurun kendisi “bağlantılı cihaz senkronizasyon mesajlarının eksik yetkisi” durumuydu. Bu, ilgisiz bir kullanıcının bir hedefin cihazını içeriği kötü amaçlı bir web adresinden işlemeye zorlamasına izin verdi.
Ayrı bir Apple kusuruyla eşleştirildiğinde, CVE-2025-43300 (Apple zaten düzeltmişti), görüntüleri nasıl işlediğinde, bu saldırı zinciri kötü amaçlı bir program yüklemek ve herhangi bir kullanıcı etkileşimi olmadan veri çalmak için kullanılabilir. Kusurun 2.25.21.73 sürümünden önce iOS için WhatsApp’ı etkilediğini, 2.25.21.78 sürümünden önce iOS için WhatsApp Business ve 2.25.21.78 sürümünden önce Mac için WhatsApp’ı etkilediğini belirtmek gerekir. WhatsApp, etkilendiğine inandığı “200’den az” kullanıcıya bildirim gönderdiğini doğruladı.
Katar’daki Ulusal Siber Güvenlik Ajansı’ndan (NCSA) yaptığı açıklamaya göre, bu kusurun şiddeti, bir bilgisayar korsanının bir kurbanın cihazına ilk erişim kazanmasına izin verebilecek bağlantılı cihazlar arasında senkronizasyon mesajlarını işleme mekanizmasında yatmaktadır.
Uluslararası Af Örgütü Donncha ó Cearbhaill liderliğindeki güvenlik laboratuvarı, hata çiftini, kullanıcıları son 90 gün boyunca veya Mayıs ayı sonundan beri hedefleyen ve bir kullanıcının cihazından mesajlar da dahil olmak üzere veri çalabildiği bir “gelişmiş casus yazılım kampanyası” olarak nitelendirdi. X’teki bir yazıda, Cearbhaill de gerekli ipuçlarını paylaştı ve insanlara cihazlarını güncellemelerini veya bir fabrika sıfırlaması gerçekleştirmelerini tavsiye etti.
Bu son saldırının arkasında kimin olduğu henüz net olmasa da, WhatsApp kullanıcılarının gelişmiş casus yazılımlar tarafından ilk kez hedeflenmediği. 2019’da mesajlaşma uygulaması, Pegasus casus yazılımıyla 1.400’den fazla kullanıcıyı tehlikeye atan bir hack kampanyası için casus yazılım üreticisi NSO Group’a dava açtı. Bir ABD mahkemesi daha sonra şirkete WhatsApp’a 167 milyon dolarlık tazminat ödemesini emretti.
Bu yeni olay, devam eden hükümet casus yazılımı ve kötü amaçlı yazılım tehdidini göstermektedir. Ayrıca, bu güncellemeler genellikle bu tür sofistike saldırılara karşı korumak için kritik güvenlik yamaları içerdiğinden, kullanıcıların uygulamalarını ve işletim sistemlerini neden her zaman güncel tutmaları gerektiğini de vurgular.