Zero-Click-Angriff auf Apple-Geräte via WhatsApp

Meta verteilt derzeit Updates für diverse WhatsApp-Clients, weil es Angreifern möglich war, ohne Zutun der Nutzer Code einzuschleusen. Die Sicherheitslücke im Messenger nutzt einen Fehler bei der Autorisierung bestimmter iPhones, iPads und macOS-Computer aus, wenn Nachrichten automatisch mit den Geräten synchronisiert werden sollen. Sie ist unter CVE-2025-55177 registriert und kann in Verbindung mit Lücken in den Betriebssystemen der Geräte ausgenutzt werden, um über eine URL eine Spyware zu installieren. Per Klick oder Tipp bestätigen müssen die Nutzer der Apple-Geräte dies nicht (Zero-Click-Angriff).

Die betroffenen Versionen WhatsApp for iOS Version 2.25.21.73 oder älter, WhatsApp Business for iOS Version 2.25.21.78 und WhatsApp for Mac version 2.25.21.78 oder älter sollten umgehend aktualisiert werden. In Verbindung mit der schon bekannten Sicherheitslücke CVE-2025-55177 (EUVD-2025-26214, CVSS 8.0, Risiko „hoch“)kann der Exploit ausgenutzt werden. Die Lücke in den Betriebssystemen betrifft die Bibliothek „Image I/O“ und ermöglicht Einschleusen von ausführbarem Code über manipulierte Bilder. Auch iOS, iPadOS und macOS sollte man daher umgehend auf den neuesten Stand bringen. Wie Meta mitteilt, könnte die Lücke bereits ausgenutzt worden sein.

Laut Donncha Ó Cearbhaill, Chef des Security Lab von Amnesty International, wurde die Lücke auch schon aktiv ausgenutzt. Einige Anwender hätten von WhatsApp Warnmeldungen erhalten, es gäbe Hinweise, dass ihnen eine bösartige Nachricht zugeschickt worden wäre. Dies schreibt der Aktivist auf der Plattform X. Man sei sich nicht sicher, ob das betreffende Gerät erfolgreich kompromittiert worden sei, man empfehle einen vollen Werksreset und künftig stets Betriebssysteme und die WhatsApp-Anwendung aktuell zu halten.

(rop)