Уязвимости в iOS 16 позволяют незаметно перехватывать аккаунты WhatsApp

Зафиксирована серия атак на пользователей iPhone, управляемых iOS 16, которые приводили к скрытому перехвату сессий в WhatsApp. Особенность инцидентов заключается в отсутствии необходимости какого-либо взаимодействия с пользователем — жертве не нужно было переходить по ссылкам, сканировать коды или подтверждать авторизацию на сторонних устройствах.

Механика скрытого перехвата

Специалисты компании Forenser, занимающейся цифровой криминалистикой, проанализировали жалобы пользователей, чьи аккаунты использовались для рассылки мошеннических сообщений с просьбами о денежных переводах. Ситуация осложнялась тем, что в настройках мессенджера раздел «Связанные устройства» не отображал подозрительной активности.Исследование логов sysdiagnose выявило аномалию: постоянную цикличную ресинхронизацию сессий. Проще говоря, серверы WhatsApp фиксировали непрерывные попытки повторной авторизации. Это свидетельствует о конкуренции за доступ к аккаунту: легитимное устройство владельца и клиент злоумышленника в фоновом режиме вытесняли друг друга, пытаясь удержать контроль над сессией. В результате злоумышленник получал возможность отправлять сообщения, не становясь при этом официально зарегистрированным «связанным устройством».

Технический стек атаки

Аналитики связывают успех кампании с двумя уязвимостями, которые эксплуатировались в связке на устройствах с устаревшими версиями iOS 16 (ниже 16.7.12):* CVE-2025-43300: критическая ошибка в системном фреймворке ImageIO, допускающая запись данных за пределами выделенного буфера (out-of-bounds write). Атака происходила при обработке специально подготовленного изображения. * CVE-2025-55177: уязвимость непосредственно в механизме WhatsApp, позволявшая обрабатывать контент из произвольных URL-адресов через некорректно авторизованные сообщения синхронизации.На практике это значит, что цепочка атаки строилась на обходе защиты памяти при отрисовке графики, за чем следовал перехват криптографических ключей, необходимых для авторизации сессии. Лабораторное моделирование подтвердило: эксплуатация этих багов позволяет злоумышленнику полноценно имитировать работу мессенджера на стороннем железе без ведома владельца основного аккаунта.

Меры защиты

Единственным радикальным решением проблемы является обновление операционной системы до актуальных версий, где уязвимости ImageIO и компоненты WhatsApp уже защищены от подобной эксплуатации. В ходе исследования выяснилось, что установка PIN-кода на приложение или использование биометрии затрудняет чтение истории переписки для злоумышленника, а полная переустановка мессенджера принудительно разрывает скомпрометированную сессию. Эксперты также рекомендуют верифицировать любые просьбы о финансовых транзакциях через альтернативные каналы связи, не связанные с перепиской в мессенджере.