WhatsApp 0-Click ранливост искористена со штетна DNG датотека

Објавено: 30.09.2025

0-click ранливост за далечинско извршување на код (RCE) во WhatsApp што ги погодува iOS, macOS и iPadOS платформите на Apple, опишана заедно со демонстрација како доказ за концепт.

Ланецот на напад искористува две одделни ранливости, означени како CVE-2025-55177 и CVE-2025-43300, за да го компромитира целниот уред без потреба од каква било интеракција од корисникот.

Експлоитот, демонстриран во proof-of-concept (PoC) објавен од истражувачите од DarkNavyOrg, се иницира со испраќање специјално подготвена штетна DNG слика до WhatsApp сметката на жртвата.

Како „zero-click“ напад, ранливоста се активира автоматски при приемот на штетната порака, што го прави особено опасен — жртвите немаат можност да спречат компромитирање.

PoC за 0-click напад врз WhatsApp (доказ за концепт)

Ланец на експлоатација на WhatsApp 0-click ранливост

Влезната точка на нападот е CVE-2025-55177, критична логичка грешка во начинот на кој WhatsApp ги обработува пораките. Според DarkNavyOrg, ранливоста произлегува од недостиг на верификациска проверка која треба да потврди дека доаѓачката порака потекнува од легитимен поврзан уред. Овој пропуст им дозволува на напаѓачите да испратат порака која изгледа дека доаѓа од доверлив извор, заобиколувајќи ги почетните безбедносни проверки и доставувајќи го штетниот пакет (payload).

Го активиравме WhatsApp 0-click на iOS/macOS/iPadOS.
CVE-2025-55177 произлегува од недостиг на верификација дека пораката [Цензурирано] потекнува од поврзан уред, што овозможува специјално подготвено парсирање на DNG кое го активира CVE-2025-43300.
Анализата на Samsung CVE-2025-21043 исто така е во тек. pic.twitter.com/idwZXqh5WK

— DARKNAVY (@DarkNavyOrg) September 28, 2025

Откако пораката ќе се достави, се активира втората ранливост, CVE-2025-43300. Овој пропуст се наоѓа во библиотеката за парсирање DNG датотеки во апликацијата.

Напаѓачот подготвува неисправна DNG слика која, кога ќе биде обработена од WhatsApp, предизвикува оштетување на меморијата, што доведува до далечинско извршување на код.

Доказот за концепт (PoC) што го споделија истражувачите покажува скрипта што ја автоматизира постапката: најавување во WhatsApp, генерирање на неисправната DNG и испраќање на штетната содржина до целниот телефонски број. Оваа комбинација овозможува непречено и тивко компромитирање на таргетираниот уред.

Оваа 0-click RCE ранливост претставува сериозна закана за корисниците на WhatsApp на повеќе Apple уреди, вклучувајќи iPhone, Mac компјутери и iPad.

Успешен експлоит може да му даде на напаѓачот целосна контрола над уредот, овозможувајќи пристап до чувствителни податоци, следење на комуникациите и распоредување дополнителен малвер. Неприметната природа на нападот значи дека уредот може да биде компромитиран без видливи индикатори.

Откритието ја истакнува тековната безбедносна проблематика поврзана со сложени формати на датотеки и месинџер апликации кои работат на повеќе платформи. Недостатоците во парсерите за датотеки историски биле чест вектор за RCE експлоатации, бидејќи тие обработуваат ненадежни надворешни податоци.

DarkNavyOrg наведува дека нивната анализа е во тек, вклучувајќи и посебна истрага за ранливост поврзана со Samsung (CVE-2025-21043).

За сега, се советува корисниците на WhatsApp да ги одржуваат апликациите и оперативните системи секогаш ажурирани на најновите верзии за да ги примат безбедносните закрпи веднаш штом станат достапни. Се очекува WhatsApp и Apple да ги адресираат овие критични ранливости во претстојните безбедносни ажурирања.

Извори:

Cyber Security News – „WhatsApp 0-Click Vulnerability Exploited Using Malicious DNG File“ .Cyber Security News