Аккаунты популярного мессенджера на iPhone захватывают zero-click-атакой
3 мин
23
У владельцев iPhone в Италии крадут аккаунты WhatsApp (мессенджер принадлежит Meta Platforms, Inc., чья деятельность признана экстремистской и запрещена в РФ) через zero-click-атаку. На смартфонах жертв не найдено сканирования QR-кодов, уведомлений или записей в разделе «Связанные устройства». Кампанию обнаружила итальянская ИБ-команда Forenser. Под удар попали устройства от iPhone 8 до iPhone 14 (включая X, XR, XS, 11, SE, 12 и 13) на iOS 16.
Все пострадавшие описывали экспертам Forenser одинаковую картину: с их номера уходили сообщения недавним собеседникам с просьбой перевести деньги, сами они ничего не отправляли, а в настройках приложения не нашли ни одного связанного устройства. Атакующие получали доступ к недавним перепискам, но старые и архивированные чаты им были не видны. QR-коды никто не сканировал, коды подтверждения не передавал, сопряжение не проходил. Так эксперты отбросили классический ghost pairing.
Первой зацепкой стали unified logs iOS и sysdiagnose со скомпрометированного устройства. В логах мессенджера нашлась аномалия — непрерывная череда событий resync, сигнализирующая о постоянном перезаключении сессии с серверами.
В Forenser отметили, что такие события встречаются нечасто. Они происходят, только если кто-то параллельно держит свою сессию на том же аккаунте. Это характерный признак того, что за один аккаунт конкурируют два клиента. Легитимный телефон и клиент атакующего циклично проходят повторную аутентификацию, и никто никого не вытесняет. Именно поэтому раздел связанных устройств оставался цикличным: сессия злоумышленника в нём не регистрировалась.
Все пострадавшие устройства работали на iOS 16. Это вывело команду на две вероятные уязвимости, через которые шла атака: CVE-2025-43300 и CVE-2025-55177. Первая представляет собой out-of-bounds write во фреймворке ImageIO и приводит к повреждению памяти при обработке специально сформированного изображения. Apple закрыла её в августе 2025 года, когда баг уже использовали как 0-day против iOS, iPadOS и macOS. Вторая — уязвимость в мессенджере для iOS и macOS: парсинг содержимого произвольных URL через некорректно авторизованные сообщения синхронизации связанных устройств. Уязвимы версии ниже iOS 16.7.12, ровно те, что стояли на пострадавших устройствах. В логах также нашлись ошибки библиотеки обработки изображений, по времени совпадающие с моментами компрометации аккаунтов.
Часть атаки исследователи повторили в лаборатории на тестовом iPhone с уязвимой iOS. Картина подтвердилась: со взломанного аппарата удалось вытащить ключи сессии в мессенджере и поднять с ними отдельный клиент на стороне атакующего. Для серверов приложения он выглядит как обычный клиент жертвы. Ни телефон, ни приложение никаких уведомлений не показывают, в разделе «Связанные устройства» по-прежнему ничего не значилось. На серверах при этом обнаружились сразу две сессии под один аккаунт: владельца и атакующего. Они мешали друг другу, поэтому приложение постоянно переподключалось. Так исследователи сумели объяснить бесконечную повторную синхронизацию сессии в логах.
Эксперты отметили, что, поскольку речь идёт об атаке zero-click, советы вроде «не кликайте по подозрительным ссылкам» в этом случае не работают. Поэтому самый простой вариант защиты — обновить iOS до актуальной версии: патчи для используемой злоумышленниками уязвимости вышли для iOS 17 и iOS 18.
