أصدرت شركة واتساب تحديثاً أمنياً طارئاً لتطبيقاتها على أنظمة iOS وmacOS بعد اكتشاف ثغرة أمنية خطيرة قد تم استغلالها بالفعل في هجمات موجهة، بالتوازي مع ثغرة أخرى كشفت عنها شركة آبل مؤخراً.
وتحمل الثغرة الرمز CVE-2025-55177 (بدرجة خطورة 8.0 وفق مقياس CVSS)، وترتبط بضعف في التحقق من الصلاحيات أثناء مزامنة الرسائل بين الأجهزة المرتبطة. وقد اكتشفها فريق الأمان الداخلي في واتساب وأعاد تصنيفها بعد التحقق من خطورتها.
وأوضحت الشركة المملوكة لـ”ميتا” أن هذه الثغرة “قد تسمح لمهاجم غير ذي صلة بإجبار الجهاز المستهدف على معالجة محتوى من رابط (URL) عشوائي”.
الإصدارات المتأثرة والهجوم المتسلسل
تشمل الإصدارات المتأثرة بالثغرة:
-
واتساب على iOS قبل الإصدار 2.25.21.73
-
واتساب بزنس على iOS الإصدار 2.25.21.78
-
واتساب على Mac الإصدار 2.25.21.78
وأشارت واتساب إلى أن هذه الثغرة ربما استُخدمت بالتوازي مع الثغرة CVE-2025-43300 التي أعلنت عنها آبل الأسبوع الماضي، والتي تؤثر على iOS وiPadOS وmacOS، وتُستغل في هجمات “متطورة للغاية” تستهدف أفراداً بعينهم.
وتتمثل هذه الثغرة في إطار عمل ImageIO، حيث تؤدي إلى خطأ Out-of-Bounds Write يسبب تلفاً في الذاكرة عند معالجة صورة خبيثة.
حملة تجسس عبر برمجيات تجسسية متقدمة
قال دونشا أو كيربايل، رئيس مختبر الأمن في منظمة العفو الدولية، إن واتساب أبلغت عدداً غير محدد من المستخدمين بأنها تعتقد أنهم كانوا أهدافاً لحملة تجسس متقدمة خلال التسعين يوماً الماضية، باستخدام الثغرة CVE-2025-55177.
وأضاف أن الهجوم يُصنّف ضمن فئة “Zero-Click”، أي أنه لا يتطلب أي تفاعل من الضحية مثل النقر على رابط، مما يجعله شديد الخطورة.
استهداف الصحفيين والمدافعين عن حقوق الإنسان
أشارت تقارير أولية إلى أن الهجوم أثّر على مستخدمي آيفون وأندرويد على حد سواء، ومن بينهم أفراد في المجتمع المدني. وقال كيربايل: “تواصل برامج التجسس الحكومية تهديد الصحفيين والمدافعين عن حقوق الإنسان”.
وأوصت واتساب الأفراد الذين تلقوا إشعار الاستهداف بإجراء إعادة ضبط المصنع الكاملة لأجهزتهم، إضافة إلى الحرص على تحديث أنظمة التشغيل وتطبيق واتساب باستمرار لضمان الحماية القصوى.
