WhatsApp’ta yeni keşfedilen sıfır tıkalı uzaktan kumanda (RCE) güvenlik açığı milyonlarca Apple kullanıcısını riske atıyor.
Darknavyorg’dan araştırmacılar, herhangi bir kullanıcı etkileşimi olmadan iOS, macOS ve iPados cihazlarını tehlikeye atmak için iki farklı kusurdan yararlanan bir kavram kanıtı (POC) sömürü gösterdiler.
Saldırı zinciri, WhatsApp’ın mesaj işlemesinde kritik bir mantık hatası olan CVE-2025-55177 ile başlar.
Darknavyorg’a göre, WhatsApp gelen bir mesajın gerçekten bağlantılı bir cihazdan kaynaklanıp gelmediğini doğrulayamıyor.
Bu eksik çek, bir saldırganın bir kullanıcının kendi güvenilir hesabından gelen mesajlar oluşturmasına izin verir. WhatsApp sahte mesajı işler yapmaz, kötü amaçlı yük yükü sorunsuz bir şekilde teslim edilir.
Kötü niyetli mesaj ilk güvenlik filtrelerini atladıktan sonra, istismar CVE-2025-43300’ü tetikler, WhatsApp’ın DNG görüntü ayrıştırma kütüphanesinde ciddi bir kusur. Saldırgan, mesaja hatalı formlu bir DNG (dijital negatif) görüntü yerleştirir.
WhatsApp görüntüyü otomatik olarak işlediğinde, bozuk DNG bellek bozulması hatasına neden olur. Bu hata uzaktan kod yürütülmesine akar ve saldırgana hedef cihaz üzerinde tam kontrol sağlar.
Darknavyorg’un POC’si tüm süreci otomatikleştirir. Bir komut dosyası WhatsApp’a oturum açar, hatalı formlu DNG görüntüsünü oluşturur ve kurbanın telefon numarasına gönderir.
Saldırı sessizce yürütülür: Alıcı asla bir bildirim, mesaj önizleme veya herhangi bir uzlaşma göstergesi görmez. Sonuç olarak, cihaz görünür işaretler olmadan saldırgan tarafından tamamen kontrol edilir.
Bu sıfır-tıkaç RCE’nin potansiyel etkisi şiddetlidir. Hedeflenen bir cihazın tam kontrolü olan bir saldırgan, mesajları kesebilir, fotoğrafları çalabilir, çağrıları kaydedebilir ve ek kötü amaçlı yazılım yükleyebilir.
İstismar Apple’ın ekosisteminde çalıştığından, iPhone’ları, iPad’leri ve MAC bilgisayarlarını etkiler. Saldırının gizli doğası, oldukça uyanık kullanıcıların bile tehlikeye atılabileceği anlamına gelir.
Dosya ayrıştırma kusurları, RCE güvenlik açıkları için tanıdık bir kök nedendir. DNG gibi karmaşık görüntü formatları genellikle birden fazla gömülü meta veri bölümünü içerir.
Tek bir hatalı etiket, bellek yönetimini bozabilir ve bu da sömürülebilir koşullara yol açabilir. Platformlar arası mesajlaşma uygulamaları bu dosya türlerini otomatik olarak işleyerek doğrulama kontrolleri eksik olduğunda güçlü bir saldırı vektörü oluşturur.
Darknavyorg, benzer şekilde sıfır tıkaç mekaniğini kullanan Samsung’a özgü bir kusur (CVE-2025-21043) dahil olmak üzere ilgili güvenlik açıklarını analiz etmeye devam ediyor.
Bu arada, Whatsapp ve Apple iki kritik hata hakkında bilgilendirildi. Kullanıcılar WhatsApp’ı en son sürüme güncellemeli ve piyasaya sürülmez en yeni iOS, macOS veya iPados güvenlik yamalarını yüklemelidir.
Yamalar gelene kadar, güvenilir kişilerden bile şüpheli mesajlar veya görüntüler açmaktan kaçının.
Bu saldırı hiçbir kullanıcı etkileşimi gerektirmesine rağmen, beklenmedik dosyalara maruz kalmayı sınırlamak riski azaltabilir.
İşletmeler mobil güvenlik politikalarını gözden geçirmeli ve anormal WhatsApp trafiği için ek izlemeyi düşünmelidir.
WhatsApp Sıfırlı RCE, mesajlaşma uygulamalarında otomatik dosya işlemenin sağlanmasının devam eden zorluklarını göstermektedir.
Saldırganlar, kullanıcı etkileşimini atlamak için teknikleri geliştirdikçe, sağlam validasyon ve hızlı yama dağıtımı sessiz ve yıkıcı istismarlara karşı en iyi savunma olmaya devam etmektedir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.