This post is also available in:
English (אנגלית)
לאחרונה, וואטסאפ טיפלה בחולשת אבטחה שפגעה ביישומי ההודעות שלה על פלטפורמות Apple iOS ו-macOS. הפגם, שזוהה כ-CVE-2025-55177, היה עשוי להיות מנוצל על ידי תוקפים זדוניים כדי לשלוח תוכנות ריגול למשתמשים דרך הודעות שנראו תמימות, אך הכילו קישורים מוסתרים.
החולשה השפיעה במיוחד על גרסאות מסוימות של וואטסאפ ל-iOS ול-macOS. ב-iOS, הגרסאות המושפעות היו לפני v2.25.21.73 של וואטסאפ ו-v2.25.21.78 של וואטסאפ ביזנס. עבור macOS, הגרסאות המושפעות היו לפני v2.25.21.78. הבעיה נגרמה על ידי טיפול לא נכון בהודעות סנכרון מכשירים מקושרים, שיכולות לאפשר לתוקפים להפעיל תוכן מזיק דרך קישורים חיצוניים המוטמעים בהודעות, על פי Cybernews.
לפי החברה, החולשה עשויה הייתה להיות מנוצלת בשילוב עם חולשה ספציפית נוספת של Apple (CVE-2025-43300). חולשה זו, שנחשפה מוקדם יותר השנה, אפשרה לתוקפים להפעיל קוד שרירותי כאשר קובץ תמונה נפתח בוואטסאפ. בתרחיש של התקפה ממוקדת, שתי החולשות יחד עשויות היו לאפשר הפעלת קוד מזיק מבלי שהמשתמש ידע.
למרות שאין דיווחים מאומתים על כך שהחולשות נוצלו אקטיבית, הפוטנציאל לניצול היה משמעותי, שכן הודעה שנוצרה באופן זדוני יכלה להטעות את המשתמשים ולגרום להם להריץ קוד מזיק מבלי שידעו כאשר הם לוחצים על קובץ מצורף. צוות וואטסאפ מעריך כי ייתכן שחולשות אלו היו בשימוש יחד כדי לפגוע במשתמשים. מוקדם יותר השנה, וואטסאפ תיקנה בעיה דומה שעסקה בזיוף קבצים, שבה תוקפים יכלו להסתיר קבצים הרצה כקבצי תמונה או PDF.
למרות שהחולשות האלה תוקנו כעת בעדכונים האחרונים של וואטסאפ עבור iOS ו-macOS, מצב זה הדגיש את החשיבות של עדכון יישומים ומערכות הפעלה כדי להימנע מאיומי אבטחה פוטנציאליים. למשתמשים מומלץ לעדכן לגרסאות האחרונות של וואטסאפ עבור iOS ו-macOS בהקדם האפשרי, על מנת להבטיח שהמכשירים שלהם מוגנים מפני סיכונים כאלה.
