WhatsApp ha solucionado una vulnerabilidad de seguridad en sus apps de mensajería para iOS y macOS de Apple que, que podría haber sido explotada in-situ en conjunción con una falla de Apple recientemente descubierta en ataques de Zero-Days dirigidos.
La vulnerabilidad, CVE-2025-55177 (CVSS: 8.0), se relaciona con un caso de autorización insuficiente de los mensajes de sincronización de dispositivos vinculados. Investigadores internos del Equipo de Seguridad de WhatsApp han sido responsables del descubrimiento y la reclasificación del error.
La empresa afirmó que el problema «podría haber permitido que un usuario no relacionado activara el procesamiento de contenido desde una URL arbitraria en el dispositivo objetivo».
La falla afecta a las siguientes versiones:
WhatsApp para iOS (versión anterior a la 2.25.21.73), WhatsApp Business para iOS (versión 2.25.21.78) y WhatsApp para Mac (versión 2.25.21.78).
También se evaluó que la falla podría estar relacionada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPadOS y macOS, como parte de un ataque sofisticado contra usuarios específicos. La semana pasada, Apple reveló que CVE-2025-43300 se había utilizado como arma en un «ataque extremadamente sofisticado contra individuos específicos».
La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de límites en el framework ImageIO que podría provocar corrupción de memoria al procesar una imagen maliciosa.
Donncha Ó Cearbhaill, directora del Laboratorio de Seguridad de Amnistía Internacional, afirmó que WhatsApp ha notificado a un número indeterminado de personas que, según cree, fueron blanco de una campaña de spyware avanzado en los últimos 90 días mediante la vulnerabilidad CVE-2025-55177.
En la alerta enviada a las personas afectadas, WhatsApp también recomendó restablecer completamente el dispositivo a la configuración de fábrica y mantener actualizados el sistema operativo y la aplicación de WhatsApp para una protección óptima. Actualmente se desconoce quién o qué proveedor de spyware está detrás de los ataques.
Ó Cearbhaill describió estas dos vulnerabilidades como un ataque de «clic cero», lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo.
«Los primeros indicios apuntan a que el ataque a WhatsApp está afectando tanto a usuarios de iPhone como de Android, entre ellos a la sociedad civil», declaró Ó Cearbhaill. «El spyware gubernamental sigue representando una amenaza para periodistas y defensores de los derechos humanos».
Fuente: THN