פורצים בלי שתרגישו: וואטסאפ סגרה חולשת Zero Click

החולשה שאפשרה גישה להודעות ולמידע אישי נסגרה, אך מומלץ לעדכן גם את מערכת ההפעלה

{ אבטחה וסייבר }
אושרי אלקסלסי, מערכת גיקטיים
31.8.25

מקור: Unsplash

וואטסאפ תיקנה בסוף השבוע חולשת אבטחה חמורה שאיפשרה לתוקפים לגנוב מידע על משתמשים מבלי שאלו היו מודעים לכך. בסוף השבוע פרסמה מטא את החולשה שמצאה ותיקנה (CVE-2025-55177) שאיפשרה לתוקפים לגשת למכשירים של משתמשים, כולל להודעות שלהם.

וואטסאפ הודיעה למשתמשים שהיא חושדת שהמכשירים שלהם נפרצו. על פי החברה, המתקפה ניצלה חולשות בוואטסאפ עצמה וכן במערכות ההפעלה iOS ו-macOS כדי לחדור למכשירים. "למרות שאיננו יודעים בוודאות שהמכשיר שלכם נפרץ, רצינו ליידע אתכם ליתר ביטחון", כתבה ווטסאפ בהודעה למשתמשים, "כדי שתוכלו לאבטח את המכשיר והמידע שלכם". ההודעה המקורית שפורסמה ב-X על ידי חוקר אבטחה אירי מארגון אמנסטי אינטרנשיונל.

בנוסף לחולשת ה-Zero Click שתוקנה, מחקר של חוקרי King's College London חשף חולשות נוספות במנגנון ניהול קבוצות בוואטסאפ. החולשות איפשרו למי ששולט בשרת להוסיף משתתפים לקבוצות ללא אישור, מה שמדגיש את האתגרים המתמשכים בשמירה על פרטיות ובאבטחת המידע בפלטפורמה.

במטא הדגישו בהודעה למשתמשים שווקטור התקיפה נסגר מצידה של וואטסאפ. "עם זאת, מערכת ההפעלה של המכשיר שלכם עלולה להיות חשופה לנוזקה", או במילים אחרות, אנחנו עשינו את שלנו, עכשיו תעדכנו לגרסה האחרונה של אפל.

חשוב לציין כי אפל עצמה לא התייחסה בימים האחרונים לחולשה בוואטסאפ, אך פרסמה עדכון אבטחה בשבועות האחרונים שבו ציינה כי תיקנה חולשה (CVE-2025-43300). החולשה גרמה לכך שברגע שקובץ תמונה זדוני הגיע למכשיר הוא הוביל להשחתת זיכרון (memory corruption), מה שמאפשר לתוקפים לגנוב מידע מהמכשירים של המשתמשים. בהודעה של אפל צוין: "אנו מודעים לדיווח על כך שייתכן כי החולשה נוצלה כחלק ממתקפה מתוחכמת ביותר נגד משתמשים מסוימים".

דוברת מטעם מטא אמרה כי חולשת האבטחה נסגרה לפני מספר שבועות, וכי החברה שלחה הודעות ל"פחות מ-200 משתמשים" שנחשד כי מכשיריהם נפרץ על ידי ניצול החולשה.

מי עומד מאחורי התקיפה?

נכון לעכשיו לא צוין מי הגורמים שהיו מאחורי המתקפה או באילו כלים השתמשו. בעבר נקשר שמן של מספר חברות סייבר התקפי ישראליות לניצול חולשות חמורות כאלו בוואטסאפ. המקרה של NSO הוא כנראה המוכר ביותר, שהוביל גם למשפט מתוקשר שנגמר בקביעת בית המשפט כי החברה הישראלית תחויב לשלם 167 מיליון דולר לוואטסאפ. מוקדם יותר השנה טען גורם בוואטסאפ כי החברה גם נתקלה בקמפיין פריצה מתוחכם עם שימוש בחולשת zero-click, הפעם עם הכלי של Paragon הישראלית ששימש לפריצה לעשרות מכשירים, לדבריו. במרץ דיווחה מטא כי הצליחה לסגור את החולשה.

 הכתבה פורסמה לראשונה בגיקטיים

תגיות: , , , , , , , , , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא