WhatsApp, iPhone ve Mac kullanıcılarını hedef alan “zero-click” saldırı vektörünü kapattı. Bu açık, kullanıcı etkileşimi olmaksızın casus yazılımların bulaşmasına imkân tanıyan kritik bir güvenlik zaafiyeti olarak öne çıktı.
Açığın Teknik Kökü ve Zincirleme Söküm
WhatsApp, CVE-2025-55177 koduyla tanımlanan hatayı hızlıca kapattı. Bu açık, cihaz senkronizasyon mesajlarının işlenmesindeki yetersiz yetkilendirme zafiyetine dayanıyor. Apple da bir süre önce ImageIO çerçevesindeki CVE-2025-43300 numaralı hafıza bozulmasına yol açan sorunu gidermişti. Bu iki açık birleşince “zero-click” zinciri oluşabiliyor.
Saldırı Kampanyası ve Hedefler
Amnesty International’a bağlı Security Lab, bu saldırı zincirinin Mayıs ayından itibaren aktif olarak kullanıldığını; 200’den az kullanıcının hedef alındığını ve bunlar arasında sivil toplum üyeleri ve gazetecilerin de olabileceğini öne sürüyor. WhatsApp, bazı kullanıcıları uyararak cihazlarını resetlemelerini talep etti.
Hızlı Müdahale: Güncelleme ve Koruma
WhatsApp, iOS ve macOS uygulamaları için acil güncelleme yayınladı. Kullanıcıların hem işletim sistemlerini hem de uygulamalarını güncel tutması gerektiğini vurguladı. Bazı durumlarda cihazın fabrika ayarlarına sıfırlanmasının bile gerekli olabileceği bildirildi.
Neden Bu Kadar Tehlikeli?
Zero-click saldırılar, kurbanın hiçbir tıklama veya işlem yapmasına gerek olmadan gerçekleştirilir. Bu nedenle iz bırakmadan çalışabilir, tespit edilmeleri son derece zordur ve güvenlik önlemlerini etkisiz hale getirir. Siyasi ya da toplumsal aktivistler gibi hassas profiller için ciddi bir tehdit unsuru oluşturur.
Haber Özeti:
- WhatsApp ve Apple, “zero-click” saldırı zincirini oluşturan açıkları kapattı.
- Zincire CVE-2025-55177 (WhatsApp) ve CVE-2025-43300 (Apple) neden olmuştu.
- Hedeflenen kişiler az sayıdaydı; sivil toplum ve gazeteciler arasında olduğu düşünülüyor.
- Kullanıcılara güncelleme, uyarı ve gerekiyorsa fabrika ayarlarına dönüş önerildi.
- Zero-click saldırılar, kullanıcı müdahalesi olmadan casus yazılım yüklenmesine izin veriyor.
