Der Messenger-Dienst WhatsApp hat eine kritische Sicherheitslücke in seinen Apple-Clients behoben, über die Angreifer Spyware ohne Zutun der Nutzer installieren konnten. Die Schwachstelle mit der Kennung CVE-2025-55177 wurde laut Meta bereits vor einigen Wochen geschlossen.
Die WhatsApp-Lücke funktionierte nur in Verbindung mit der Apple-Schwachstelle CVE-2025-43300, die der iPhone-Hersteller vergangene Woche mit einem Sicherheitsupdate beseitigt hatte. Apple sprach damals von hochentwickelten Angriffen auf ausgewählte Personen, ohne Details zu nennen.
Amnesty International bestätigt nun, dass die Angriffskampagne etwa 90 Tage aktiv war. Donncha Ó Cearbhaill vom Security Lab der Menschenrechtsorganisation bezeichnet die Attacke als Zero-Click-Exploit, bei dem Opfer keine verdächtigen Links anklicken oder Dateien öffnen müssen.
Datenextraktion über Messenger-Kanal
Die Exploit-Kette ermöglichte es, über WhatsApp schädlichen Code auf iOS- und macOS-Systeme zu schleusen. Nach erfolgreicher Kompromittierung konnten Angreifer auf sämtliche Gerätedaten zugreifen, wie aus den Warnmeldungen an betroffene Nutzer hervorgeht.
Meta-Sprecherin Margarita Franklin bestätigte, dass unter 200 Benachrichtigungen verschickt wurden. Angaben zur Herkunft der Angriffe oder dem verwendeten Spyware-Produkt machte das Unternehmen nicht.
Updates verfügbar
Nutzer sollten sowohl die aktuellste WhatsApp-Version als auch die neuesten Betriebssystem-Updates von Apple installieren, um beide Schwachstellen zu schließen. Die Patches sind über die jeweiligen Update-Mechanismen verfügbar.