WhatsApp 0 Konsept gösterisinin kanıtı ile detaylandırılmış Apple’ın iOS, macOS ve iPados platformlarını etkileyen uzaktan kumanda yürütme (RCE) güvenlik açığı.
Saldırı zinciri, kullanıcı etkileşimi gerektirmeden bir hedef cihazı tehlikeye atmak için CVE-2025-55177 ve CVE-2025-43300 olarak tanımlanan iki ayrı güvenlik açıkından yararlanır.
Darknavyorg araştırmacıları tarafından paylaşılan bir kavram kanıtı (POC) ile gösterilen istismar, bir kurbanın WhatsApp hesabına özel hazırlanmış bir kötü niyetli (DNG) görüntü dosyası göndererek başlatılır.
“Sıfır tıkırtısı” saldırısı olarak, güvenlik açığı, kötü niyetli mesajın alınması üzerine otomatik olarak tetiklenir, bu da mağdurların uzlaşmayı önleme fırsatı olmadığı için özellikle tehlikeli hale getirir.
WhatsApp 0 tıklayın Güvenlik Açığı İstismar Zinciri
Saldırının giriş noktası CVE-2025-55177’dir.
Darknavyorg’a göre, güvenlik açığı, gelen bir mesajın meşru bir bağlantılı cihazdan kaynaklandığını doğrulamak için eksik bir doğrulama kontrolünden kaynaklanmaktadır.
Bu gözetim, bir saldırganın güvenilir bir kaynaktan gibi görünen bir mesaj göndermesine, başlangıç güvenlik kontrollerini atlamasına ve kötü amaçlı yükü teslim etmesine izin verir.
Mesaj gönderildikten sonra, ikinci güvenlik açığı olan CVE-2025-43300 tetiklenir. Bu kusur, uygulamanın DNG dosya ayrıştırma kütüphanesinde bulunur.
Saldırgan, WhatsApp tarafından işlendiğinde, bellek bozulması hatasına neden olan ve uzaktan kod yürütülmesine neden olan hatalı biçimlendirilmiş bir DNG görüntüsü oluşturur.
Araştırmacılar tarafından paylaşılan kavram kanıtı, süreci otomatikleştiren bir komut dosyası gösterir: WhatsApp’a giriş yapmak, hatalı biçimlendirilmiş DNG’yi oluşturmak ve yükü bir hedef telefon numarasına göndermek. Bu kombinasyon, hedeflenen cihazın kesintisiz ve sessiz bir uzlaşmasına izin verir.
Bu sıfır tıkalı RCE güvenlik açığı, iPhone’lar, MAC bilgisayarlar ve iPad’ler de dahil olmak üzere birden fazla Apple cihazında WhatsApp kullanıcıları için ciddi bir tehdit oluşturur.
Başarılı bir istismar, bir saldırgana bir cihaz üzerinde tam kontrol verebilir ve hassas verilere erişmelerini, iletişimleri izlemelerini ve daha fazla kötü amaçlı yazılım dağıtmalarını sağlayabilir. Saldırının gizli doğası, bir cihazın görünür göstergeler olmadan tehlikeye atılabileceği anlamına gelir.
Keşif, karmaşık dosya formatları ve platformlar arası mesajlaşma uygulamalarıyla ilgili devam eden güvenlik zorluklarını vurgulamaktadır. Dosya ayrıştırıcılarındaki kusurlar, güvenilmez dış verileri işlerken tarihsel olarak RCE istismarları için ortak bir vektör olmuştur.
Darknavyorg, Samsung ile ilgili bir güvenlik açığı (CVE-2025-21043) hakkında ayrı bir soruşturma da dahil olmak üzere analizinin devam ettiğini göstermiştir.
Şimdilik, WhatsApp kullanıcılarına uygulamalarının ve işletim sistemlerinin, kullanılabilir hale gelir gelmez güvenlik yamalarını almak için her zaman en son sürümlere güncellenmelerini sağlamaları tavsiye edilir. Hem WhatsApp hem de Apple’ın bu kritik güvenlik açıklarını yaklaşan güvenlik güncellemelerinde ele alması bekleniyor.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
