Zero-click przejęcie kont WhatsApp na iPhone’ach z iOS 16. Atak działa bez ostrzeżenia i bez widocznych sesji

Wprowadzenie do problemu / definicja

Badacze opisali kampanię, w której dochodziło do przejęcia kont WhatsApp na iPhone’ach z iOS 16 bez jakiejkolwiek interakcji ze strony użytkownika. Tego typu scenariusz określa się jako atak zero-click, ponieważ ofiara nie musi otwierać linku, skanować kodu QR ani podawać kodu weryfikacyjnego, aby napastnik uzyskał możliwość działania z poziomu jej konta.

Szczególnie niepokojące jest to, że w analizowanych przypadkach użytkownicy nie widzieli podejrzanych połączonych urządzeń w ustawieniach WhatsApp. Oznacza to, że klasyczne wskaźniki kompromitacji mogły nie wystąpić, mimo że z kont były wysyłane nieautoryzowane wiadomości, często zawierające prośby o pilny przelew.

W skrócie

• Ataki dotyczyły iPhone’ów działających pod kontrolą iOS 16.
• Przejęcie konta WhatsApp miało charakter zero-click i nie wymagało działań ofiary.
• Napastnicy wysyłali wiadomości do ostatnich kontaktów, podszywając się pod właściciela konta.
• W sekcji połączonych urządzeń nie pojawiały się widoczne ślady dodatkowej sesji.
• Hipoteza techniczna wskazuje na połączenie podatności w Apple ImageIO oraz problemu z synchronizacją urządzeń powiązanych w WhatsApp.

Kontekst / historia

Przejęcia kont w komunikatorach zwykle kojarzą się z prostszymi technikami, takimi jak wyłudzenie kodu SMS, SIM swap czy nakłonienie ofiary do zeskanowania złośliwego kodu QR. W takich przypadkach napastnik uzyskuje sesję przypominającą legalne logowanie, a użytkownik ma przynajmniej pewną szansę na wykrycie nieprawidłowości.

W opisywanej kampanii mechanizm wyglądał inaczej. Ofiary nie potwierdzały żadnej nowej sesji, nie wykonywały czynności autoryzacyjnych i nie obserwowały nowych urządzeń w interfejsie aplikacji. To przesuwa incydent z obszaru typowej socjotechniki do kategorii bardziej zaawansowanych ataków, łączących elementy eksploatacji podatności systemowych i nadużyć w logice działania aplikacji.

Sprawa wpisuje się w szerszy trend wzrostu zagrożeń wobec komunikatorów mobilnych. Kanały, które przez lata były postrzegane głównie jako narzędzia codziennej komunikacji, stają się atrakcyjnym celem dla cyberprzestępców nastawionych zarówno na fraud finansowy, jak i pozyskiwanie danych z aktualnych rozmów.

Analiza techniczna

Z analizy śledczej wynika, że jednym z najważniejszych artefaktów były częste zdarzenia typu „resync” widoczne w logach oraz danych diagnostycznych urządzeń. Taki wzorzec może sugerować, że legalny klient WhatsApp działający na telefonie ofiary oraz instancja kontrolowana przez napastnika próbowały równolegle utrzymać aktywną sesję dla tego samego konta.

Według opisu technicznego możliwy łańcuch ataku obejmował dwie słabości. Pierwszą była podatność CVE-2025-43300 w komponencie Apple ImageIO, opisana jako błąd out-of-bounds write. Odpowiednio przygotowany obraz mógł prowadzić do uszkodzenia pamięci podczas przetwarzania treści graficznej przez podatny system.

Drugim elementem była CVE-2025-55177, wiązana z niepełną autoryzacją komunikatów synchronizacji urządzeń powiązanych w WhatsApp dla platform Apple. W praktyce takie połączenie mogło umożliwić zdalne wymuszenie przetwarzania kontrolowanej zawartości, a następnie pozyskanie materiału kryptograficznego lub stanu sesji potrzebnego do inicjalizacji dostępu na innej instancji klienta.

Kluczowe znaczenie miało to, że aktywność napastnika nie musiała być prezentowana użytkownikowi jako standardowo podłączone urządzenie. Z perspektywy ofiary aplikacja mogła działać normalnie, podczas gdy część operacji była wykonywana poza jej kontrolą. To odróżnia ten model od klasycznego „ghost pairingu” i znacząco utrudnia detekcję.

Badacze wskazali również, że napastnicy mogli uzyskiwać dostęp przede wszystkim do bieżących i ostatnio aktywnych konwersacji, a niekoniecznie do całej historii archiwalnej. Taki zakres dostępu jest jednak w pełni wystarczający do prowadzenia skutecznych oszustw, podszywania się pod właściciela konta oraz wysyłania wiarygodnych wiadomości do osób z jego listy kontaktów.

Konsekwencje / ryzyko

Ryzyko wynikające z tego rodzaju incydentu jest bardzo wysokie, ponieważ ofiara może przez dłuższy czas nie zdawać sobie sprawy z kompromitacji. Brak widocznych oznak włamania ogranicza szansę na szybką reakcję, a odbiorcy wiadomości ufają nadawcy, ponieważ komunikaty pochodzą z prawdziwego numeru i zaufanego kanału.

Potencjalne skutki obejmują oszustwa finansowe, wyciek treści rozmów, utratę reputacji, a także wtórne przejęcia innych kont z wykorzystaniem socjotechniki. Jeżeli WhatsApp jest wykorzystywany do komunikacji służbowej, zagrożenie rośnie jeszcze bardziej, ponieważ przejęcie konta może prowadzić do wyłudzeń płatności, przekazywania fałszywych instrukcji lub naruszenia poufności danych.

Dodatkowym problemem jest utrudniona analiza incydentu. Jeśli użytkownik nie widzi podejrzanej sesji w ustawieniach aplikacji, może błędnie uznać, że doszło jedynie do pomyłki lub nieporozumienia. To opóźnia eskalację sprawy i zwiększa okno czasowe, w którym napastnik może nadal wykorzystywać konto.

Rekomendacje

Najważniejszym działaniem ochronnym pozostaje szybka aktualizacja systemu iOS do najnowszej dostępnej wersji oraz upewnienie się, że sama aplikacja WhatsApp jest zaktualizowana. Urządzenia pozostające na iOS 16 bez poprawek bezpieczeństwa mogą być szczególnie narażone, jeśli opisany łańcuch ataku rzeczywiście wykorzystuje luki systemowe i problem z mechanizmem synchronizacji.

W przypadku podejrzenia kompromitacji warto podjąć następujące kroki:

• sprawdzić historię ostatnio wysłanych wiadomości i poszukać anomalii,
• przeprowadzić pełną aktualizację systemu operacyjnego oraz aplikacji,
• rozważyć ponowną instalację WhatsApp i odtworzenie zaufanej sesji na zweryfikowanym urządzeniu,
• natychmiast poinformować kontakty, że wcześniejsze prośby o przelew mogły być oszustwem,
• zabezpieczyć logi i artefakty diagnostyczne do dalszej analizy śledczej,
• włączyć dodatkowe zabezpieczenia dostępu lokalnego do telefonu i aplikacji.

Z perspektywy organizacyjnej warto rozszerzyć procedury reagowania o scenariusz przejęcia komunikatora bez widocznych śladów w sekcji połączonych urządzeń. Zespoły bezpieczeństwa powinny traktować zgłoszenia o samoczynnie wysłanych wiadomościach jako potencjalny incydent techniczny, a nie wyłącznie jako efekt błędu użytkownika.

Dobrym standardem pozostaje również weryfikacja poza kanałem. Każdą nietypową prośbę o przelew, zmianę rachunku lub pilne działanie otrzymaną przez komunikator należy potwierdzać telefonicznie albo innym niezależnym kanałem komunikacji.

Podsumowanie

Opisana kampania pokazuje, że przejęcie konta WhatsApp może dziś nastąpić bez kliknięcia, bez skanowania kodu QR i bez widocznych oznak nowej sesji. To znacząco podnosi poziom trudności wykrywania incydentu i zwiększa skuteczność oszustw prowadzonych z przejętych kont.

Jeśli hipoteza badaczy się potwierdza, mamy do czynienia z niebezpiecznym połączeniem podatności systemowej po stronie Apple i problemu z synchronizacją urządzeń po stronie WhatsApp. Dla użytkowników i organizacji najważniejszy wniosek jest jednoznaczny: mobilne aktualizacje bezpieczeństwa należy traktować jako krytyczny element ochrony komunikacji, a nie jedynie rutynową czynność administracyjną.

Źródła

• https://securityaffairs.com/192627/security/zero-click-whatsapp-account-takeover-hits-iphone-users-running-ios-16-no-linked-devices-no-warning.html
• https://www.forenser.it/
• https://www.cvedetails.com/cve/CVE-2025-55177/
• https://vulnerability.circl.lu/vuln/CVE-2025-43300
• https://www.whatsapp.com/security/advisories/2025/