WhatsApp fixt zeroday die gebruikt werd om iPhones te infecteren met malware

WhatsApp heeft een fix uitgebracht voor een zerodaykwetsbaarheid in zijn iOS- en macOS-apps. Daarmee was het mogelijk om spyware te verspreiden. Het zou gaan om een zeroclickexploit, waardoor de malware zonder interactie van het doelwit kon worden geïnstalleerd.

Het gaat om de kwetsbaarheid CVE-2025-55177, die in combinatie met de iOS- en macOS-zeroday CVE-2025-43300 kon worden gebruikt om schadelijke code uit te voeren op het toestel van een doelwit door het slachtoffer een gemanipuleerde afbeelding te sturen. Daarbij is geen interactie van de ontvanger vereist, meldt securityonderzoeker Donncha Ó Cearbhaill van Amnesty International. Vervolgens zou de aanvaller toegang kunnen krijgen tot het apparaat van de gebruiker en alle gegevens kunnen inzien.

Volgens WhatsApp is deze kwetsbaarheid misbruikt in een 'geraffineerde aanval' tegen specifieke gebruikers. De chatdienst zegt tegen TechCrunch dat 'minder dan tweehonderd' gebruikers zijn getroffen door de kwetsbaarheid. Volgens Amnesty International gaat het onder meer om journalisten en mensenrechtenverdedigers. WhatsApp heeft de mogelijke slachtoffers op de hoogte gesteld. Het is niet duidelijk wie achter de aanval zitten.

WhatsApp heeft de kwetsbaarheid naar eigen zeggen opgelost in versie v2.25.21.73 van de reguliere iOS-app, versie v2.25.21.78 van de WhatsApp Business-app en versie v2.25.21.78 van de Mac-app. Apple loste het CVE-2025-43300-lek vorige week op in iOS 18.6.2 en macOS Sequoia 15.6.1.

Reacties (74)

mjl 31 augustus 2025 20:39

Ik kreeg laatst een telefoontje van een vrouwelijk klinkende computer stem die me probeerde te overtuigen het nummer aan whatsapp toe te voegen. Nu was het een Nederlands nummer met 11 cijfers (voor IOT apparatuur of machine to human contact) en ik vroeg me al af waarom ze dat willen, uiteraard om vervolgens social engineering toe te passen maar blijkbaar kunnen ze dan subiet een afbeelding sturen en mijn iPhone hacken…. Dus uit nieuwsgierigheid het nummer toevoegen is toch niet zo onschuldig als je zou denken. Gelukkig heb ik me in kunnen houden!

SunnieNL

@mjl • 1 september 2025 10:28

Gezien Whatsapp gewoon berichten van onbekenden door laat is dat telefoontje hier totaal niet voor nodig.

Dat telefoontje is voor hen om gelijk een mens te bereiken die al open staat voor social engineering.
Dat gaat automatisch via dit soort telefoontjes sneller dan dat je ze allemaal zelf gaat bellen.

Mensen direct via Whatsapp benaderen is ondertussen een bekende methode en de meeste mensen gaat de rode vlag al uit op het moment dat er via een onbekende nummers berichten binnen komen. Dus doe je het via het bellen met een robot en als ze je dan bereiken via whatsapp ben je in ieder geval al een stap verder in het social engineering proces en gaan je eigen alarmbellen niet meer zo snel af.

[Reactie gewijzigd door SunnieNL op 1 september 2025 10:29]

mjl @SunnieNL • 1 september 2025 11:10

Als er een bericht van een onbekende is moet ik die eerst ‘toestaan’ voordat ik content krijg.

SunnieNL

@mjl • 1 september 2025 17:43

ik kan de content zien maar voor ik iets terug kan doen moet ik eerst toestaan.. maar dan is de content van de andere kant dus al binnen.

dangerpaki 31 augustus 2025 11:54

Tegen specifieke gebruikers en o.a. journalisten en mensenrechtenactivisten gebruikt. Volgens mij kunnen e allemaal wel raden welke instanties/landen hierachter zitten.

YGDRASSIL

@dangerpaki • 31 augustus 2025 21:56

Denk Amerika want Trump wil graag weten wat journalisten over hem schrijven...

Llopigat @YGDRASSIL • 1 september 2025 06:03

Yup er is bijvoorbeeld pas een team van Google geweest die een kwetsbaarheid aankondigde op defcon en fixte. Die kreeg een hele hoop shit over zich heen omdat deze kwetsbaarheid actief misbruikt werd door de NSA.

https://x.com/PwnieAwards/status/1557268652197416966

xenn99 @Llopigat • 1 september 2025 07:44

Die post is uit 2022, dat zou ik persoonlijk niet omschrijven als "pas".
Daarnaast vind ik een X post van een of andere onbekende "award" met 50 reposts en 40 likes niet bepaald "een hele hoop shit".

Google TAG (Threat Analysis Group) is een afdeling die specifiek in het leven is geroepen om lekken die actief misbruikt worden door de overheid te dichten, het lijkt me dus nogal sterk dat ze vervolgens problemen hebben gekregen voor het vervullen van hun functie.

In het jaar rapport staat er in ieder geval helemaal niets over, dus ik zeg gebakken lucht.

YGDRASSIL

@xenn99 • 1 september 2025 07:57

Mijn post was ook meer grappig bedoeld, niet heel serieus

litebyte @dangerpaki • 31 augustus 2025 12:12

Veel journalisten gebruiken allang geen 'spyware' troep meer van facebook (schuilnaam meta, waaronder WA) Ze gebruiken vaak Signal of Secure drop <voor foto's documenten etc.)

apeklootje @dangerpaki • 1 september 2025 12:59

Pegasus iemand?

kftnl @dangerpaki • 1 september 2025 13:47

Volgens mij kunnen we allemaal wel raden welke instanties/landen hierachter zitten.

Ok, welk land zit erachter? Als je VS zegt is mijn vraag hoe je weet dat het niet China is, en als het China is is mijn vraag hoe je weet dat het niet de VS is.

dangerpaki @kftnl • 1 september 2025 14:56

Ik noemde “instanties/landen” (dus niet 1 maar meerdere) zonder namen. Dat jij 2 namen noemt die ik ook in mn hoofd is al veelzeggend.

[Reactie gewijzigd door dangerpaki op 1 september 2025 14:56]

kftnl @dangerpaki • 1 september 2025 17:22

Ok welke instanties/landen zitten erachter?

En welke daarvan zijn niet gekoppeld aan een land?

Het punt dat ik probeer aan te geven is dat je alleen weet welke er achter zouden kunnen zitten, maar niet welke erachter zit.

Ik zou 15 landen kunnen bedenken die ertoe in staat zijn maar ik weet niet welke het werkelijk gedaan heeft.

[Reactie gewijzigd door kftnl op 1 september 2025 17:24]

Skinnyice 31 augustus 2025 11:40

Kan de onderzoeker dan de miljoen dollar opstrijken die ze begin deze maand hadden beloofd voor zeroclicks?

MrBreaker @Skinnyice • 31 augustus 2025 11:52

Die heeft dan wel het juiste moment afgewacht $_/-\o_$

ro8in 31 augustus 2025 17:13

Weet je wat ik dus gewoon mis in zowel Android als iOS is gewoon simpele tools waarmee ik kan zien wat er nou eigenlijk op mijn telefoon gebeurd. Waar is mijn process viewer, waar kan ik me disk activity stats zien etc. Ik kan niks zien omdat alle normale legale apps in user space draaien, maar ondertussen draaien er misschien wel gekke exploits als root of system level en weet ik dat niet omdat ik het op een normale wijze niet kan checken. Ik moet maar op blind vertrouwen geloven dat Google en Apple mijn device wel schoon houden wat gewoon meermaals is gebleken hun zeker niet altijd lukt.

Ik blijf het gewoon een raar fenomeen dat ik een computer in mijn zak heb die van alles kan draaien zonder dat ik het weet en ik maar beetje moet afgaan op afwijkend gedrag, batterij die snel leeg is of telefoon die zonder reden heet is etc als indicatoren van dat er eventueel iets mis zou kunnen zijn. Het maximale wat ik kan zien is welke processen er als dezelfde user draaien maar dat is echt zinloos verder.

Koen Hendriks @ro8in • 1 september 2025 08:44

Wat jij wilt is je bootloader unlocken en je telefoon rooten. Dan is dit allemaal mogelijk, al wordt dit wel steeds moeilijker en moeilijker gemaakt.

ro8in @Koen Hendriks • 1 september 2025 11:35

Ja maar het is toch bizar dat ik zelf exploits moet toepassen en jailbreaks etc enkel om te kunnen zien of dat niet al gebeurd is zonder mijn weten. Beide Android en iOS zouden dit gewoon moeten toe laten net zoals op Linux sudo of Windows run as admin etc. Als het om veiligheid gaat etc gooi er van mij part 10 warnings voor of dat ik eerst 10 settings moet aanpassen of iets. Maar dat het gewoon niet kan vind ik gewoon heel raar.

Xerxes249 @ro8in • 1 september 2025 16:50

Het is niet of je dat met de tools wel zou kunnen zien, alsof jij alle processen kunt identificeren die draaien op een CPU, en dan hebben we het nog niet eens over injecteren in bestaande processen of op een lager niveau dan je OS draaien. Wat jij zoekt is de illusie van veiligheid.

ro8in @Xerxes249 • 1 september 2025 18:47

Dat kan jij misschien niet. Maar dat betekent niet dat ik het niet kan. Ik kan heel goed alle processen identificeren die er op mijn machines draaien en zie heel snel wanneer er rare dingen draaien of gebeuren of wanneer bepaalde processen afwijkend gedrag gaan vertonen.

Ik ontwikkel samen met een groep mensen een OS voor Arm socs gebasseerd op de Linux kernel dus ik denk dat ik wel een beetje kan spreken van verstand hierover.

Ik snap dat zo een lijst aan processen voor jou en de gemiddelde gebruiker misschien er een beetje overwhelming uitziet. Maar ik kan je vertellen dat elk item in die lijst gewoon te verklaren is en het zeker de moeite waard is om eens te kijken wat er allemaal draait en waarom! Wellicht kom je nog wat dingen tegen waarvan je geen idee had dat deze draaide en zomaar resources aan het gebruiken waren.

Maar gewoon weten wat er allemaal draait en activiteit van verschillende processen inzien is echt zeker geen schijn veiligheid! Sterker nog dat geeft je meer veiligheid en inzicht dan gewoon blind vertrouwen op allemaal virus scan tooltjes en pc cleaners. Een cpu statistiek staat echt niet op 0 procent terwijl hij in werkelijkheid op 100 draait. Juist door dit soort inzichten wordt malware en exploits etc ontdekt. Het zijn juist dit soort tools waarmee security researchers werken om afwijkend gedrag te ontdekken. Know your system en weet wat er daadwerkelijk allemaal gebeurd is de beste veiligheid die je maar kan krijgen! Natuurlijk proberen virussen en malware etc te verbergen dat ze er zijn, maar ze laten altijd sporen na. Deze sporen wil je vinden, dat kan nu bij default met iOS en Android totaal niet. Je zit vast in je eigen userspace en je kan eigenlijk helemaal niet de rest inzien zonder daarvoor eerst zelf trucjes te moeten uithalen om in dit verboden gebied te komen. Deze trucjes zetten dan alleen ook weer de poort open voor andere dingen om via dezelfde weg vervolgens ook lekker root toegang te krijgen.

Ook met deze tools zul je niet altijd alles meteen ontdekken, zeker ook omdat malware en virussen natuurlijk verborgen proberen te blijven, maar om nou te stellen dat het met dit soort tools net zo veilig is als gewoon helemaal niks kunnen inzien is wel een beetje mis informatie tbh. En daarbovenop gaat het me niet alleen om te zoeken naar virussen of malware. Ik wil ook gewoon zien wat de processen van Google en Apple zelf doen gewoon. Waarom zit een bepaald process van Google de hele tijd data te versturen terwijl ik niks met mijn telefoon doe? Wat zit daar achter? etc.

[Reactie gewijzigd door ro8in op 1 september 2025 19:01]

Xerxes249 @ro8in • 2 september 2025 18:38

Oke mijn excuses, natuurlijk ging ik er niet vanuit dat jij bij de 0.01% hoort. Gelukkig snap jij dan waarschijnlijk ook dat het geen zin heeft om zoiets te maken voor de 0.01%. Als je denkt dat een Apple process shady dingen doet op jouw device waarom denk je dan dat Apple ervoor zou kiezen die informatie te delen met de gebruiker? Je moet nou eenmaal de maker van je operating system / device (intel me) vertrouwen.

killergrave 31 augustus 2025 21:21

Wat jammer zeg, weer een achterdeurtje dicht. Als je Zerodium moet geloven hebben ze er nog genoeg. Dus voor de intellegence agency's is er geen vuiltje aan de lucht.

BizzieBis 31 augustus 2025 11:45

End-to-end encryption, en toch weten ze vrijwel precies wie er getroffen geworden is?

latka @BizzieBis • 31 augustus 2025 11:48

Voor routering is het zowiezo al geen end to end encryptie: ze moeten toch weten naar wie het bericht moet. Metadata wordt dat dan genoemd. Dus fb weet zowiezo wie met wie praat (en de boodschap die je stuurt zou dan versleuteld zijn maar ja, het is fb dus ik zou daar mijn leven niet op verwedden)

Ruuuuuubje @latka • 1 september 2025 08:05

Zou end tot end encryptie een beperking zijn om aan één end gewoon mee te kijken? Dus je hebt een bericht gekregen, en na decription kijkt meta (of wie dan ook) gewoon in de app op je telefoon naar de inhoud.

latka @Ruuuuuubje • 1 september 2025 08:12

De app is van meta dus we weten niet wat die doet na het decrypten. Daarnaast: er zijn regelmatig Android/iOS exploits die app grenzen doorbreken. Ook maakt WhatsApp standaard een backup naar Google van je berichten. Geen idee hoe veilig die route is (zou ik eens naar moeten kijken). De samenvatting: als je staatsgeheimen wil bespreken doe je dat niet op een smartphone. Je buitenechtelijke relatie via je smartphone zal wel loslopen tenzij je partner bij een geheime dienst werkt ;-)

DonJunior @BizzieBis • 31 augustus 2025 11:54

End to end encryptie is pas van toepassing als de autorisatie chain volledig is opgezet. Het issue hier is dat dit laatste nog niet het geval zou zijn.
Uit het bron artikel:

Incomplete authorization of linked device synchronization messages in WhatsApp [..] could have allowed an unrelated user to trigger processing of content from an arbitrary URL on a target’s device.

bron: https://www.whatsapp.com/security/advisories/2025/

Aalard99

@BizzieBis • 31 augustus 2025 11:56

Dat is precies de misopvatting van de end to end encryptie. Niemand zegt iets over welke data er van de app naar Meta gaat, je kan prima alles end to end encrypten maar vervolgens alle data uit de app zelf halen.

Uiteindelijk verwacht ik dat ze dit nu kunnen zien uit bepaalde meta data die ze vanuit de app krijgen.

MrBreaker @BizzieBis • 31 augustus 2025 11:51

Ja maar de malicious afbeelding hebben ze niet gezien hoor

bzzzt

Apple

@BizzieBis • 31 augustus 2025 11:56

Als je weet wat voor payload de malware installeert is het makkelijk te controleren of iemand getroffen is. Interne virusscanner van macOS/iOS zal waarschijnlijk standaard wel gegevens delen met Apple.

Defspace @BizzieBis • 31 augustus 2025 13:12

Het wordt e2e encrypted verstuurd, maar voor verzending zouden ze hem kunnen hashen.

[Reactie gewijzigd door Defspace op 31 augustus 2025 14:18]

Luchtbakker 31 augustus 2025 12:30

Ik dacht dat apps binnen ios altijd in containers draaide en je dus nooit bij systeembestanden kon komen bij dergelijke lekken.

Hoe heeft dit dan toch kunnen gebeuren?

Blizz @Luchtbakker • 31 augustus 2025 12:37

Dit gaat om een combinatie van zerodays in WhatsApp en het OS zelf.

Het gaat om de kwetsbaarheid CVE-2025-55177, die in combinatie met de iOS- en macOS-zeroday CVE-2025-43300 kon worden gebruikt om schadelijke code uit te voeren op het toestel van een doelwit door het slachtoffer een gemanipuleerde afbeelding te sturen

edit:
Citaat was van dit artikel zelf.

[Reactie gewijzigd door Blizz op 31 augustus 2025 12:39]

wiseger

Apple

@Luchtbakker • 31 augustus 2025 12:38

Dat staat in het artikel:

nieuws: Apple brengt iOS-, iPadOS- en macOS-updates uit met fix voor zeroday

Out-of-bound memory issue gaat over de containergrens heen.

De aanvallers hebben dus twee kwetsbaarheden gecombineerd. Eentje om WhatsApp te kunnen misbruiken en vandaaruit de tweede om buiten de container in het geheugen te kunnen schrijven.

Sysosmaster

@Cerberus_tm • 1 september 2025 06:44

Tja, Apple-apparaten zijn nou niet bepaald de veiligste. Geen enkele computer is echt veilig (daarom werken geheime diensten deels nog op papier), maar als je het zo veilig mogelijk wilt kun je zoiets als Graphene overwegen.

Wat is dit voor onzin reactie.

Ten eerste is Graphene net zo vatbaar voor dit soort dingen als IOS.

Ten tweede hebben geheime diensten een compleet ander thread model dan “gewone mensen”.

Ten derde spreke je opmerking “geen computer is veilig” je gehele redenatie tegen.

Als het gaat om het combineren van zero-days. Dan is geen enkele computer platform beter.

FrostyPeet 31 augustus 2025 11:52

Dit lijkt mij toch iets meer als alleen maar een WA code fout. Ik zou verwachten dat IOS toch een prompt geeft dat er iets geïnstalleerd (gaat) worden?

Aan de andere kant, kan je een smartphone wel bestendig maken tegen (staats)hackers met vrijwel onbeperkte middelen? Die dus rustig een jaar een team inzetten om een heel zeldzame achterdeur te vinden/ontdekken? Overheden lijken grote bedragen over te hebben als iemand zijn achterdeurtje wil verkopen.

flossed @FrostyPeet • 31 augustus 2025 12:28

IOS had ( en heeft wellicht nog steeds ) een tijdje een hele rits aan vunerabilities, die niet gefixed zijn, waarbij de vunerability ansig niet een probleem is maar de hele keten kan problemen veroorzaken indien door slimme hackers geexploit wordt. Wikipedia: Operation Triangulation. Dat is het gene dat aan het licht is gekomen. De vraag is wat is nog niet aan het licht. andere vraag of deze zaken ondertussen zijn opgelost.

[Reactie gewijzigd door flossed op 1 september 2025 20:42]

aikebah @flossed • 31 augustus 2025 12:53

iOS heeft/had geen exploits, het had (en heeft ongetwijfeld) bugs, die mogelijkerwijs bruikbaar zijn (al dan niet in een keten) om een exploit te bouwen.

redzebrax @aikebah • 31 augustus 2025 13:50

Ik ben niet voor of tegen Apple, maar net zoals alle andere operating systemen heeft/had deze al ooit exploits. Je kan trouwens opzoeken welke exploits ooit actief werden gebruikt. Apple iOS Security Vulnerabilities in 2025 ,zie "Known Exploited Apple iOS Vulnerabilities."

Christoxz @redzebrax • 1 september 2025 08:10

Je bericht bevestigd exact zijn punt. Het zijn vulnerabilities (kwetsbaarheden) en geen exploits.
Een exploit, maakt gebruik van een kwetsbaarheid.
iOS heeft dus geen exploits, maar kwetsbaarheden waar een exploit voor bestaat of gemaakt kan worden.
Zie: Wikipedia: Exploit (computer security)

Technisch gezien is @aikebah correct, echter begrepen we de context vast wel zonder deze correctie.

Honytawk @Christoxz • 1 september 2025 15:18

Semantics dus

L00_Cyph3r @aikebah • 31 augustus 2025 17:44

Een bug die je kan exploiteren heet volgens mij een exploit. Of de attack vector een andere exploit vereist doet er niet toe, het is nog steeds een exploit.

flossed @aikebah • 1 september 2025 20:39

Ok eens, vunerabilities, waarvoor je makkelijk exploits kan maken. Operation triangulation ging ook m een rits van vunerabilities die opzichzelf niet gevaarlijk waren maar de exploit maakte gebruik van een hele trits.

[Reactie gewijzigd door flossed op 1 september 2025 20:41]

Christoxz @FrostyPeet • 31 augustus 2025 12:28

Dat staat ook gewoon in het artikel, het is in combinatie met een kwetsbaarheid in iOS en MacOS
Dus het is inderdaad meer dan een kwetsbaarheid in WA.

Het gaat om de kwetsbaarheid CVE-2025-55177, die in combinatie met de iOS- en macOS-zeroday CVE-2025-43300 kon worden gebruikt om schadelijke code uit te voeren op het toestel van een doelwit door het slachtoffer een gemanipuleerde afbeelding te sturen

[Reactie gewijzigd door Christoxz op 31 augustus 2025 12:29]

moonlander 31 augustus 2025 11:45

Hoe zijn ze achter die 200 gebruikers gekomen als alles versleuteld is.... Kunnen ze dan toch afbeeldingen/tekst scannen?

naaitsab @moonlander • 31 augustus 2025 11:54

Wie zegt dat alles versleuteld is? De infrastructuur moet nog steeds weten dat bericht X van toestel Y naar toestel Z moet. 'End-to-end' wil niet zeggen dat de complete datastroom anoniem is. Dat gaat meer over de inhoud van het bericht, waarbij de vraag inderdaad is wat er nog te traceren is. Mogelijk hebben ze alleen de bron nummers van de aanvallers achterhaald. Ik ga er tenminste vanuit hun 'end-to-end' encryptie claim ook daadwerkelijk is geverifieerd door externe. Als het niet klopt hebben ze wel wat uit te leggen.

lenwar

Apple
Apple iOS
Whatsapp
Beveiliging en antivirus

@naaitsab • 31 augustus 2025 17:07

Dit klopt.

De 'data' (tekst/afbeelding/document/enz.) is eind-tot-eind-versleuteld. Wie naar wie communiceert is uiteraard niet versleuteld, anders weet de client niet waar een bericht naartoe gestuurd moet worden. (hier zijn technisch wel methoden voor, waarbij ook dit versleuteld is, maar dan duurt het allemaal veel, en veel langer. (tot op uren/dagen om een berichtje gegarandeerd bij de beoogde ontvanger te krijgen.)

moonlander @naaitsab • 31 augustus 2025 13:30

Ik als gebruiker ga ervanuit. De infrastructuur heeft als het goed is de versleutelde data die door mijn whatsapp app gemaakt wordt.

lenwar

Apple
Apple iOS
Whatsapp
Beveiliging en antivirus

@Cholens • 31 augustus 2025 17:05

Alles wordt 'eind-tot-eind' versleuteld verstuurd. Ook afbeeldingen en bestanden. Als je een afbeelding naar een groep stuurt gebeurd er dit:

Er wordt een sleutel aangemaakt voor de betreffende afbeelding. Die sleutel versleutelt de afbeelding en stuurt deze (de versleutelde afbeelding) naar een centrale server van WhatsApp (WhatApp kan hem niet ontsleutelen, want ze hebben de sleutel niet.) De link naar de afbeelding en de sleutel worden gestuurd naar de ontvangers (via eind-tot-eind-versleuteling). De ontvangers downloaden de afbeelding, en ontsleutelen die lokaal.

Dit is de reden dat je een afbeelding heel snel naar zoveel mensen kunt sturen, en ook kunt 'doorsturen' naar andere groepen. Jouw client hoeft niet naar iedere groep de afbeelding opnieuw te uploaden als er niet zo veel tijd tussen zit. Dan hoeft hij alleen maar de sleutel en de link door te sturen.

crazyboy01 @Cholens • 31 augustus 2025 20:05

Wat ik me altijd bij dit soort reacties afvraag is waar het precies op gebaseerd is en waarom dit wordt geroepen, als iets dus niet het geval is.

GameNympho 31 augustus 2025 12:13

Het is niet duidelijk wie achter de aanval zitten.

Maar deze uitspraak Daarbij is geen interactie van de ontvanger vereist, meldt securityonderzoeker Donncha Ó Cearbhaill van Amnesty International wel een hint naar bepaalde software lijkt mij, maar goed, een ieder die diepe zakken heeft, kan dat aanschaffen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (74)

Sorteer op:

Weergave: