Поделиться
ОС iPhone позволяет незаметно захватывать аккаунты WhatsApp*
Комбинация уязвимостей в iOS 16 обеспечивает злоумышленникам возможность перехватить контроль над чужим аккаунтом WhatsApp* без какого-либо взаимодействия с пользователем. В Италии этим воспользовались на практике.
Без видимых признаков
Издание Security Affairs опубликовало материал о кампании, нацеленной на итальянских пользователей iPhone под управлением iOS 16: комбинация из двух уязвимостей позволяла перехватывать аккаунты WhatsApp без привязывания каких-либо других устройств, вывода предупреждений и в целом какого-либо взаимодействия с пользователем.
Злоумышленники получали возможность использовать чужие аккаунты WhatsApp наравне с их владельцами, причём от жертв не требовалось совершать каких-либо действий, которые могли бы скомпрометировать их безопасность.
Компания Forenser, специализирующаяся на цифровой криминалистике, получила от нескольких пользователей сообщения о странном поведении их клиентов WhatsApp: с их номера отправлялись сообщения недавним контактам с просьбами о банковских переводах, которых сами пользователи не писали, и при этом в настройках приложения отсутствовали какие-либо следы посторонней активности.
На этой неделе эксперты Forenser опубликовали исследование произошедшего: как выяснилось, речь идёт о технически сложной атаке, направленной на известные уязвимости в iOS 16, которые позволяли перехватывать сессии WhatsApp без какого-либо участия пользователя.
Схема во всех атаках была одной и той же: злоумышленники получали доступ к недавним чатам и отправляли собеседникам сообщения с просьбами о переводе денег. При этом старые или заархивированные диалоги им были, судя по всему, недоступны.
Все пострадавшие использовали iPhone в диапазоне версий с 8 до 14, в том числе, модели X, XR, XS, 11, SE, 12 и 13. Объединяло их использование одной из версий iOS 16. Пострадавшие отрицали, что совершали какие-либо действия, которые могли бы авторизовать доступ к аккаунту WhatsApp с нового устройства: никаких отсканированных QR-кодов, переданных кодов подтверждения или завершённых процедур сопряжения.
Это означало, что стандартный метод «ghost pairing», при котором злоумышленник обманом заставляет жертву отсканировать вредоносный QR-код и тем самым обеспечить «спаривание» устройств, тут был ни при чём. Оставался только вариант атаки zero-click, которая не требовала от жертвы вообще никаких действий.
Первая техническая зацепка появилась после анализа логов iOS и данных служебного пакета журналов и диагностических данных sysdiagnose с одного из скомпрометированных устройств.
«При анализе удалось обнаружить аномалию в логах WhatsApp: непрерывную последовательность событий "resync"; приложение постоянно повторяло авторизацию сессии на серверах WhatsApp. Подобные события не происходят регулярно, и их необычно большое количество наблюдается лишь в случае, если кто-то параллельно пытается поддерживать собственную активную сессию для того же аккаунта», — говорится в исследовании.
Иными словами, повторяющийся resync (ресинхронизация) — это признак того, что два конечных узла одновременно конкурируют за контроль над одним и тем же аккаунтом WhatsApp. Легитимный телефон и клиент злоумышленника постоянно повторно проходили аутентификацию на серверах WhatsApp, циклически вытесняя друг друга, но не получая полного контроля. Это объясняет, почему сообщения отправлялись без ведома владельца аккаунта, тогда как раздел «Связанные устройства» оставался пустым: сессия злоумышленника не регистрировалась как привязанное устройство в традиционном понимании.
Обновите iOS
Все без исключения случаи были связаны с iOS 16, что указывало на эксплуатацию конкретных уязвимостей именно в этой версии. Наиболее вероятными виновниками названы «баги» CVE-2025-43300 и CVE-2025-55177.
Уязвимость CVE-2025-43300 представляет собой ошибку в фреймворке ImageIO, позволяющую записывать данные за пределами выбранной области памяти (out-of-bounds write). С её помощью злоумышленник мог нарушать целостность памяти при обработке вредоносного изображения. Apple устранила эту уязвимость в августе 2025 года, когда обнаружилась её активная эксплуатация в атаках на iOS, iPadOS и macOS.
CVE-2025-55177, в свою очередь, это специфическая для WhatsApp уязвимость в iOS и macOS, позволявшая производить обработку контента с произвольных URL-адресов через некорректно авторизованные сообщения синхронизации связанных устройств. Согласно описанию CVE, уязвимыми являются версии iOS ниже 16.7.12. На всех скомпрометированных устройствах, исследованных Forenser, стояли именно такие версии операционной системы.
Помимо этого логи затронутых устройств содержали многочисленные ошибки библиотеки обработки изображений, возникавшие во временные промежутки, совпадавшие с компрометацией аккаунтов WhatsApp.
Команда Forenser воспроизвела часть сценария атаки в контролируемой лабораторной среде, используя тестовое устройство с уязвимой версией iOS. Воспроизведение подтвердило, что злоумышленник, успешно эксплуатировавший уязвимость, может извлечь с устройства криптографический материал, необходимый для установления и авторизации сессии WhatsApp. Этот материал можно использовать для развёртывания клиента WhatsApp, привязанного к аккаунту жертвы, на другом устройстве, причём никаких уведомлений пользователь не видит.
Поскольку атака осуществлялась без взаимодействия с пользователем, единственное, что можно порекомендовать — это обновить iOS до более новых версий, в которых указанные уязвимости уже исправлены.
«Ну, а получателям просьб о денежных переводах через WhatsApp стоит воспользоваться другими каналами связи для проверки личности отправителя, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Это не должен быть WhatsApp, лучше всего воспользоваться каким-то другим средством видеосоединения, чтобы удостовериться, что запрос поступил именно от легитимного обладателя аккаунта, а не от постороннего злоумышленника. В текущих условиях любые запросы о денежных переводах стоит рассматривать как заведомо подозрительные. Изобретательность мошенников границ не знает».
Исследователи Forenser отметили также, что блокировка текстовых чатов в WhatsApp с помощью PIN-кода или биометрического сканера не позволяет злоумышленникам вклиниваться в содержание переписки, а обновление или переустановка WhatsApp позволяет выпроводить незваного гостя из текущей сессии.
Тем не менее, надёжнее всего — обновить iOS до безопасной версии.
* WhatsApp владеет Американская транснациональная холдинговая компания Meta Platforms Inc. по реализации продуктов социальных сетей Facebook и Instagram входит в перечень организаций, признанных в соответствии с законодательством Российской Федерации экстремистскими
Поделиться
Короткая ссылка
