Noodupdate voor WhatsApp op iOS en macOS na ‘zero-click’-aanval
Het lek in kwestie wordt gevolgd als CVE-2025-55177 en zou actief misbruikt zijn geweest, zij het beperkt. In totaal zouden minder dan 200 gebruikers getroffen zijn. De exploit heeft te maken met de manier waarop WhatsApp gekopieerde berichten voor gekoppelde apparaten verwerkt.
De fout zou in combinatie met een eerder lek (CVE-2025-43300) gebruikt zijn om binnen te dringen in systemen. Dat kon in dit geval zonder enige klik, waardoor er ook wel wordt gesproken van een ‘zero-click’-aanval. Daarbij hoeft het slachtoffer zelf bijvoorbeeld geen link te openen. Een inkomend bericht volstaat om de aanval in gang te zetten.
Focus op journalisten en activisten
Zoals gezegd zou het aantal slachtoffers beperkt zijn, wat een gericht aanval doet vermoeden. Bij Amnesty International hebben ze laten weten dat leden van het maatschappelijk middenveld het doelwit leken te zijn. Het gaat daarbij om bijvoorbeeld journalisten en activisten.
Wie de daders precies zijn, is onduidelijk, maar het is bekend dat bepaalde regimes er geen probleem mee hebben om activisten te hacken om zo aan informatie en eventueel bezwarend materiaal te geraken. Vaak gebeurt dat niet uit officiële hoek, maar via hackersgroepen die in principe als onafhankelijk worden bestempeld, ondanks duidelijke politieke banden.
Verschillende updates nodig
Updates om het lek te dichten werden eind juli en begin augustus al uitgerold. WhatsApp voor iOS v2.25.21.73, WhatsApp Business voor iOS v2.25.21.78 en WhatsApp voor Mac v2.25.21.78 zijn zo veilig om te gebruiken.
Naast de update voor WhatsApp zelf moeten ook de updates van Apple van 21 augustus voor iOS, iPadOS en macOS geïnstalleerd worden. Die dichten immers het lek rond Image I/O (CVE-2025-43300) dat in combinatie met de WhatsApp-kwetsbaarheid werd misbruikt. Pas na alle updates is de gehele aanvalsketen doorbroken en zijn je systemen veilig.
