کمیته رکن چهارم– واتساپ یک آسیبپذیری امنیتی مهم در نسخههای iOS و macOS خود را رفع کرده که ممکن است در کنار یک ضعف دیگر از سیستمعامل اپل، در حملات پیشرفته روز-صفر مورد سوءاستفاده قرار گرفته باشد. این آسیبپذیری، با شناسه CVE-2025-55177، ناشی از نقص در احراز هویت پیامهای همگامسازی دستگاههای لینکشده بوده و امتیاز ۸ از ۱۰ را در سیستم CVSS دریافت کرده است.
به گزارش کمیته رکن چهارم، این مشکل میتوانست به یک کاربر غیرمجاز اجازه دهد تا پردازش اطلاعات از آدرسهای اینترنتی دلخواه را روی دستگاه قربانی فعال کند. نسخههای آسیبپذیر شامل واتساپ و واتساپ بیزینس پیش از نسخه ۲٫۲۵٫۲۱٫۷۸ برای iOS و نسخههای قبل از ۲٫۲۵٫۲۱٫۷۸ برای مک هستند.
بر اساس ارزیابیها، این نقص در کنار آسیبپذیری CVE-2025-43300 در سیستمهای اپل که مربوط به چارچوب پردازش تصویر ImageIO است، میتوانسته بخشی از یک حمله ترکیبی پیچیده علیه اهداف خاص باشد. این نوع حمله از نوع زیروکلیک است، به این معنا که نیازی به تعامل مستقیم کاربر ندارد.
سازمان عفو بینالملل اعلام کرده واتساپ در سه ماه گذشته به تعدادی از کاربران اطلاع داده که ممکن است هدف این حملات قرار گرفته باشند. در این هشدارها توصیه شده دستگاه به تنظیمات کارخانه بازگردانده شده و همواره از آخرین نسخه سیستمعامل و اپلیکیشن استفاده شود.
هرچند هنوز مشخص نیست چه گروهی یا کدام فروشنده جاسوسافزار در پشت این حمله قرار دارد، اما تحلیلها نشان میدهد که افراد از جامعه مدنی، روزنامهنگاران و مدافعان حقوق بشر از جمله قربانیان احتمالی این کمپین جاسوسی بودهاند. این رخداد بار دیگر بر ضرورت بهروزرسانی مستمر و افزایش تدابیر امنیتی تأکید میکند
