Mai multe atacuri extrem de periculoase, care se folosesc de două vulnerabilități, CVE-2025-55177 și CVE-2025-43300 pentru a forma un lanț de tip ‘zero-click’, cu scopul de a livra malware, au fost observate în ultima perioadă, atenționează Directoratul Național de Securitate Cibernetică, printr-o postare pe site-ul propriu.
‘Procesul funcționează astfel: atacatorul face ca aplicația WhatsApp să primească sau să preia automat o imagine (în cazul acestui atac se folosește o imagine DNG) de pe un server pe care-l controlează. La primire, aplicația încearcă să genereze o previzualizare a fișierului, iar componenta Apple responsabilă cu manipularea imaginilor (ImageIO) întâlnește date special construite, această situație cauzând corupere de memorie ce poate conduce la rularea de cod malițios’, explică reprezentanții DNSC.
Potrivit acestora, ‘Nu da click pentru a nu pica în capcana hackerilor’ este, de obicei, o afirmație corectă și, în unele cazuri, este și suficientă pentru a nu fi victima unui atac cibernetic, însă acest lucru nu este valabil și în cazul atacului zero-click. Un atac de tip ‘zero-click’ poate compromite un dispozitiv fără absolut nicio interacțiune necesară din partea victimei (nu este necesar să dea click, să deschidă un atașament sau să accepte permisiuni).
Experții în securitatea cibernetică mai precizează că DNG este un format neprocesat pentru fotografii, standardizat de Adobe. Este practic un fișier relativ mare cu structură internă foarte complexă (tag-uri, offset-uri, tabele, alte blocuri de date), metadate bogate și previzualizări încorporate. Multe implementări creează automat previzualizări sau extrag thumbnails, procesele fiind declanșate automat, toate acestea făcând posibilă rularea exploitului fără implicarea utilizatorului. Pe lângă aceste caracteristici, formatul este ușor de generat, un atacator putând construi ușor DNG-uri malițioase folosind instrumente disponibile public.
În ceea ce privește cele două vulnerabilități, DNSC subliniază că CVE-2025-55177 este o vulnerabilitate de tip ‘incomplete authorization’ – exploatată separat, aceasta ar permite unui utilizator nelegitim să declanșeze procesarea de conținut provenit dintr-un URL arbitrar pe dispozitivul țintei, iar CVE-2025-43300 este o vulnerabilitate de tip ‘out-of-bounds write’ prezentă în Apple iOS, iPadOS și macOS, mai exact în ImageIO (procesorul de imagini din IOS/macOS). În urma exploatării acesteia, se poate ajunge la executarea de cod arbitrar de la distanță.
‘În cazul acestui tip de atac, WhatsApp (prin vulnerabilitatea CVE-2025-55177) acceptă procesarea conținutului unui fișier trimis de pe un link prin mecanismul de sincronizare între două dispozitive, fără să verifice corect dacă solicitarea provine de la o entitate autorizată. Asta face posibil ca un utilizator nelegitim să forțeze clientul să descarce resurse de la o adresă controlată de atacator. Apoi, prin vulnerabilitatea CVE-2025-43300, fișierul de tip imagine DNG creat special de atacator este procesat de sistem, care nu verifică corect dimensiunea și structura datelor din fișier. Acest lucru duce la coruperea memoriei și îi permite atacatorului să ruleze cod pe dispozitiv, instalând spyware și obținând acces la informații și resurse sensibile precum date, cameră sau microfon’, mai explică specialiștii.
Tehnologiile și versiunile afectate sunt: WhatsApp pentru iOS (versiunile înainte de 2.25.21.73), WhatsApp Business pentru iOS (versiunile înainte de 2.25.21.78), WhatsApp pentru macOS (versiunile înainte de 2.25.21.78), Apple (ImageIO – iOS versiunile înainte de 16.7, respectiv versiunile iPadOS înainte de 16.7), macOS (versiunile înainte de Sonoma 14.7.8, Ventura 13.7.8, Sequoia 15.6.1).
DNSC recomandă actualizarea imediată a aplicațiilor ‘WhatsApp’, ‘WhatsApp Business’ și ‘WhatsApp for Mac’ la cele mai recente versiuni disponibile, aplicarea tuturor update-urilor Apple disponibile pentru iOS, iPadOS și macOS, informarea în legătură cu tipurile de atacuri aflate în trend și menținerea unei bune igiene digitale, urmărirea alertelor de securitate oficiale, activarea setărilor de protecție disponibile pe dispozitive și tratarea cu seriozitate a oricărei notificări legate de siguranța contului sau a aplicațiilor.
‘Exploatarea CVE-2025-55177 împreună cu CVE-2025-43300 descrie perfect modelul atacurilor sofisticate: o problemă la nivelul unei aplicații larg răspândite (folosită ca vector de livrare) coroborată cu o vulnerabilitate în componenta de parsare a sistemului de operare (punctul de execuție). Exploatarea DNG-ului ca fișier ‘încărcat’ și procesat automat a permis atacuri zero-click, greu de detectat de utilizatorii finali. Măsura imediată, eficientă și indispensabilă este actualizarea promptă a aplicațiilor și a sistemelor de operare’, concluzionează reprezentanții DNSC.
