Whatsapp dijo el viernes que solucionó un error de seguridad en las aplicaciones de iOS y Mac que se usaron para piratear «usuarios específicos de objetivos específicos» a los dispositivos Apple.
La aplicación de mensajería de meta, Giant, dijo que ha fijado una vulnerabilidad oficialmente conocida como CVE-2025-55177 en su aviso de seguridad.
Apple dijo en ese momento que la falla se estaba utilizando en «un ataque muy sofisticado contra un individuo objetivo particular». Ahora sabemos que docenas de usuarios de WhatsApp han sido atacados con este par defectuoso.
Donchanó Cearbhaill, quien dirige el laboratorio de seguridad de Amnistía Internacional, describió el ataque a la publicación de X como una «campaña de spyware avanzada» dirigida a los usuarios durante los últimos 90 días o finales de mayo. Cearbhaill describió el par de errores como un ataque de «cero clic». Esto significa que se compromete en su dispositivo porque no requiere ninguna interacción de la víctima, como hacer clic en un enlace.
Dos errores encadenados permiten a los atacantes proporcionar hazañas maliciosas a través de WhatsApp, lo que les permite robar datos de los dispositivos Apple de sus usuarios.
Para cada Cearbhaill que publicó una copia de la notificación de amenaza que WhatsApp envió a un usuario afectado, el ataque pudo «comprometer datos que contienen dispositivos y mensajes».
No está claro de inmediato quién o qué proveedor de spyware está detrás del ataque.
Cuando llegó TechCrunch, el portavoz de Meta Margarita Franklin confirmó que la compañía había sido detectada «hace unas semanas» y lo parchó, y la compañía envió una notificación «menos de 200» a los usuarios de WhatsApp.
El portavoz no dijo que cuando se le preguntó si WhatsApp tenía evidencia que atribuyó el truco a un atacante o proveedor de vigilancia en particular, no se le preguntó.
Esta no es la primera vez que los usuarios de WhatsApp se han dirigido al spyware del gobierno. Este es un tipo de malware que puede infiltrarse en dispositivos totalmente parcheados con vulnerabilidades desconocidas para los proveedores conocidos como fallas de día cero.
En mayo, un tribunal estadounidense ordenó al fabricante de spyware NSO Group que pagara $ 167 millones en daños por una campaña de piratería de 2019, dividida entre dispositivos de más de 1,400 usuarios de WhatsApp en una exploit que les permite plantar el Spyware de NSO Pegasus. WhatsApp ha llevado a casos legales contra la NSO, citando violaciones de las leyes de piratería federal y estatal y sus propios términos de servicio.
A principios de este año, WhatsApp interrumpe la campaña Spyware, dirigida a alrededor de 90 usuarios, incluidos periodistas italianos y miembros de la sociedad civil. El gobierno italiano se ha negado a participar en la campaña de espionaje. Paragon, que usó Spyware en la campaña, luego bloqueó a Italia de herramientas de piratería para no investigar el abuso.
¿Ha recibido una notificación de que su dispositivo se ha visto comprometido? Póngase en contacto con este reportero de manera segura a través del nombre de usuario Zackwhittaker.1337 en la señal.
Source link
