Zero-click эксплойт в WhatsApp: безобидная картинка даёт полный контроль над iPhone без единого действия жертвы

WhatsApp уязвимость нулевой клик удалённое выполнение кода DNG iOS
Zero-click эксплойт в WhatsApp: безобидная картинка даёт полный контроль над iPhone без единого действия жертвы
WhatsApp уязвимость нулевой клик удалённое выполнение кода DNG iOS

Эксплойт запускается при получении сообщения и работает на iOS, macOS и iPadOS.

image

Исследователи из DarkNavyOrg рассказали о цепочке «нулевого клика» в WhatsApp, которая позволяет удалённо выполнять код на устройствах под управлением iOS, macOS и iPadOS. Эксплуатация построена на двух уязвимостях — CVE-2025-55177 и CVE-2025-43300 — и не требует от жертвы никаких действий: достаточно получить вредоносное сообщение.

По данным авторов, отправной точкой атаки становится CVE-2025-55177 — критическая логическая ошибка в обработке входящих сообщений. В приложении отсутствует корректная проверка того, что сообщение действительно пришло с доверенного связанного устройства. Из-за этого злоумышленник может подсунуть payload, который выглядит как легитимный и проходит первичные фильтры безопасности.


Дальше срабатывает CVE-2025-43300 — сбой в библиотеке разбора DNG-файлов (формат «цифрового негатива»). Специально сформированное изображение вызывает повреждение памяти при обработке, что открывает дорогу к удалённому выполнению кода. В демонстрации proof-of-concept показан скрипт, который авторизуется в WhatsApp, генерирует «битый» DNG и отправляет его на целевой номер, после чего компрометация проходит тихо и незаметно.

Подобная уязвимость представляет серьёзную угрозу для пользователей WhatsApp на iPhone, iPad и Mac. Успешная атака потенциально даёт полный контроль над устройством: доступ к данным и переписке, скрытое наблюдение, установку дополнительного вредоносного ПО. Отсутствие необходимости в кликах и визуальных признаков делает обнаружение особенно сложным.

Случай ещё раз подчёркивает, насколько опасны ошибки в парсерах сложных форматов: они регулярно становятся входной точкой для RCE, потому что работают с непроверенными внешними данными. DarkNavyOrg также упоминает параллельное исследование отдельной проблемы на устройствах Samsung (CVE-2025-21043).

Пока анализ продолжается, пользователям рекомендуют поддерживать WhatsApp и операционные системы в актуальном состоянии, чтобы как можно быстрее получить исправления. Ожидается, что WhatsApp и Apple закроют критические уязвимости в ближайших обновлениях.