WhatsApp tha të premten se ka rregulluar një bug sigurie në aplikacionet e tij për iOS dhe Mac, i cili po përdorej për të hakuar fshehtas pajisjet e Apple të “përdoruesve të caktuar të shënjestruar.”
Gjiganti i mesazheve, në pronësi të Meta-s, tha në këshillën e tij të sigurisë se ka rregulluar cenueshmërinë, e njohur zyrtarisht si CVE-2025-55177, e cila përdorej bashkë me një tjetër dobësi të gjetur në iOS dhe Mac, që Apple e rregulloi javën e kaluar dhe e gjurmon si CVE-2025-43300.
Apple tha në atë kohë se cenueshmëria ishte përdorur në një “sulm jashtëzakonisht të sofistikuar kundër individëve të caktuar të shënjestruar.” Tani dimë se dhjetëra përdorues të WhatsApp u shënjestruan me këtë dyshe dobësish.
Donncha Ó Cearbhaill, i cili drejton Laboratorin e Sigurisë të Amnesty International, e përshkroi sulmin në një postim në X si një “fushatë spyware të avancuar” që shënjestroi përdorues gjatë 90 ditëve të fundit, ose që nga fundi i majit. Ó Cearbhaill e përshkroi këtë dyshe bugs si një sulm “zero-click”, që do të thotë se nuk kërkon asnjë ndërveprim nga viktima, si p.sh. klikimi i një lidhjeje, për të komprometuar pajisjen e tyre.
Dy dobësitë së bashku i lejojnë një sulmuesi të shpërndajë një exploit të dëmshëm përmes WhatsApp-it, i cili është i aftë të vjedhë të dhëna nga pajisja Apple e përdoruesit.
Sipas Ó Cearbhaill, i cili postoi një kopje të njoftimit të kërcënimit që WhatsApp u dërgoi përdoruesve të prekur, sulmi ishte në gjendje të “komprometonte pajisjen tuaj dhe të dhënat që përmban ajo, përfshirë mesazhet.”
Nuk është ende e qartë se kush, ose cili shitës spyware, qëndron pas sulmeve.
Kur u pyet nga TechCrunch, zëdhënësja e Meta-s, Margarita Franklin, konfirmoi se kompania e kishte zbuluar dhe rregulluar cenueshmërinë “para disa javësh” dhe se kishte dërguar “më pak se 200” njoftime për përdoruesit e prekur të WhatsApp-it.
Zëdhënësja nuk tha, kur u pyet, nëse WhatsApp ka prova për t’ia atribuar sulmet një aktori të caktuar apo një shitësi të mjeteve të survejimit.
Kjo nuk është hera e parë që përdoruesit e WhatsApp janë shënjestruar nga spyware qeveritar, një lloj malware-i i aftë të depërtojë edhe në pajisje plotësisht të përditësuara përmes cenueshmërive që nuk njihen nga shitësi, të njohura si dobësi zero-day.
Në maj, një gjykatë në SHBA urdhëroi prodhuesin e spyware NSO Group të paguante WhatsApp-it 167 milionë dollarë dëmshpërblim për një fushatë hakimi të vitit 2019, që komprometoi më shumë se 1,400 përdorues të WhatsApp përmes një exploiti të aftë të instalonte spyware-n Pegasus të NSO-s. WhatsApp e çoi çështjen ligjore kundër NSO-së, duke përmendur shkelje të ligjeve federale dhe shtetërore për hakimin, si dhe shkelje të kushteve të shërbimit të vet.
Më herët këtë vit, WhatsApp ndërpreu një fushatë spyware që shënjestronte rreth 90 përdorues, përfshirë gazetarë dhe anëtarë të shoqërisë civile në të gjithë Italinë. Qeveria italiane mohoi përfshirjen e saj në fushatën e spiunazhit. Paragon, spyware-i i së cilës u përdor në fushatë, më pas e ndërpreu Italinë nga përdorimi i mjeteve të saj të hakimit për shkak se nuk arriti të hetonte abuzimin.
