WhatsApp 零点击漏洞可远程监控目标手机，Meta 向受害者发出警告

Meta报告称，WhatsApp 适用于 Apple iOS 和 macOS 的消息应用程序中的一个安全漏洞已被修补，此前该漏洞可能与最近发现的 Apple 漏洞一起被广泛利用，并受到有针对性的0day攻击。

WhatsApp在其安全公告中表示，它已经修复了这个漏洞，官方编号为 CVE-2025-55177，该漏洞与 iOS 和 Mac 中发现的另一个漏洞同时出现，苹果公司已于上周修复了该漏洞，编号为 CVE-2025-43300。

苹果公司当时表示，该漏洞被用于“针对特定目标人群的极其复杂的攻击”。现在我们知道，数十名 WhatsApp 用户成为了这两个漏洞的攻击目标。

国际特赦组织安全实验室负责人 Donncha Ó Cearbhaill在 X 上的一篇文章中将此次攻击描述为“高级间谍软件活动”，该活动在过去 90 天内（即自 5 月底以来）一直针对用户。

Ó Cearbhaill 将这两个漏洞描述为“零点击”攻击，这意味着它不需要受害者进行任何交互（例如点击链接）即可入侵其设备。

WhatsApp的漏洞编号为CVE-2025-55177，CVSS 评分为 8.0，是由于联网设备之间同步消息的授权不足造成的，已被监控软件（间谍软件）利用。该漏洞的发现和后续重新评估归功于 WhatsApp 安全团队的研究人员。

WhatsApp 已向数量不详的个人发出警报，它认为这些人在过去 90 天内成为了使用漏洞代码CVE-2025-55177 的高级间谍软件活动的目标。

一条发送给潜在目标的信息建议，出于安全考虑，应将设备完全重置为原始设置，并确保操作系统和 WhatsApp 应用程序始终保持最新状态，以获得最佳保护。

截止目前，有关间谍软件攻击者的身份尚不清楚。

该漏洞影响 WhatsApp for iOS 2.25.21.73 之前的版本、WhatsApp Business for iOS 2.25.21.78 版本以及 WhatsApp for Mac 2.25.21.78 版本。

该漏洞是ImageIO框架中的一个越界写入漏洞，在处理恶意图像时可能导致内存损坏。

这并不是 WhatsApp 用户第一次成为政府间谍软件的攻击目标，这种恶意软件能够侵入已完全修补的设备，并利用供应商不知道的漏洞（即零日漏洞）。

今年5月，美国一家法院裁定间谍软件制造商NSO集团向WhatsApp支付1.67亿美元赔偿金，原因是该公司在2019年发起了一次黑客攻击活动，利用一个能够植入NSO Pegasus间谍软件的漏洞，入侵了超过1400名WhatsApp用户的设备。

WhatsApp对NSO提起了诉讼，称其违反了联邦和州的黑客法律以及其自身的服务条款。

今年早些时候，WhatsApp阻止了一项针对约 90 名用户的间谍软件攻击活动，其中包括意大利各地的记者和民间社会成员。意大利政府否认参与了此次间谍活动。

以色列公司开发的 Paragon 的间谍软件被用于此次攻击活动，该公司后来因未能调查此次滥用行为而切断了意大利对其黑客工具的访问。