WhatsApp, Apple Kullanıcılarını Hedef Alan Güvenlik Açığını Kapatıyor

WhatsApp, Cuma günü iOS ve Mac uygulamalarında, “belirli hedeflenen kullanıcıların” Apple cihazlarına sızmak için kullanılan bir güvenlik açığını kapattığını duyurdu.

Meta’nın sahibi olduğu mesajlaşma uygulaması, güvenlik danışmanlığında, CVE-2025-55177 olarak bilinen bu açığın, Apple’ın geçtiğimiz hafta düzelttiği ayrı bir hata ile birlikte kullanıldığını bildirdi. Apple bu hatayı CVE-2025-43300 olarak takip ediyor.

Apple, bu açığın “belirli hedeflenmiş bireylere karşı son derece sofistike bir saldırıda” kullanıldığını belirtmişti. Artık, bu iki açığın bir araya gelerek, çok sayıda WhatsApp kullanıcısını hedef aldığını biliyoruz.

Amnesty International Güvenlik Laboratuvarı’nın başkanı Donncha Ó Cearbhaill, bu saldırıyı “gelişmiş bir casus yazılım kampanyası” olarak tanımladı. Saldırının son 90 gün içinde, yani Mayıs sonundan itibaren, kullanıcılara yönelik gerçekleştirildiği ifade edildi. Ó Cearbhaill, bu iki açığı “zero-click” saldırısı olarak nitelendirerek, kurbanın cihazını tehlikeye atmadan, yani bir bağlantıya tıklamadan, saldırıyı gerçekleştirebileceğini belirtti.

Bu iki hata bir araya geldiğinde, bir saldırganın WhatsApp üzerinden kötü niyetli bir exploit göndererek kullanıcının Apple cihazından veri çalmasını sağlıyor.

Ó Cearbhaill, WhatsApp’ın etkilenen kullanıcılara gönderdiği tehdit bildirimini paylaşarak, saldırının cihazınızı ve içindeki verileri, mesajlar dahil, tehdit edebileceğini açıkladı.

Bu saldırıların arkasında kimin veya hangi casus yazılım tedarikçisinin olduğu henüz netlik kazanmadı.

TechCrunch’a ulaşan Meta sözcüsü Margarita Franklin, şirketin bu açığı “birkaç hafta önce” tespit ettiğini ve düzelttiğini doğruladı. Franklin, etkilenen WhatsApp kullanıcılarına “200’den az” bildirim gönderildiğini belirtti.

Sözcü, WhatsApp’ın bu saldırıları belirli bir saldırgana veya gözetleme tedarikçisine atfetme konusunda kanıtı olup olmadığına dair sorulara yanıt vermedi.

WhatsApp kullanıcılarının daha önce devlet casus yazılımları tarafından hedef alındığı biliniyor. Bu tür kötü amaçlı yazılımlar, tedarikçi tarafından bilinmeyen güvenlik açıkları ile tamamen güncellenmiş cihazlara sızabilme yeteneğine sahiptir.

Mayıs ayında, bir ABD mahkemesi, casus yazılım üreticisi NSO Group’un WhatsApp’a 2019’daki bir hacking kampanyası için 167 milyon dolar tazminat ödemesine karar verdi. Bu kampanya, 1.400’den fazla WhatsApp kullanıcısının cihazlarına NSO’nun Pegasus casus yazılımını yerleştirecek bir exploit ile sızmıştı.

Yılın başlarında, WhatsApp, gazeteciler ve sivil toplum üyeleri de dahil olmak üzere yaklaşık 90 kullanıcıyı hedef alan bir casus yazılım kampanyasını durdurdu. İtalyan hükümeti, bu casusluk kampanyasına katılımını yalanladı. Kampanyada kullanılan Paragon casus yazılımı, İtalya’nın istismarı araştırmaması nedeniyle İtalya ile olan sözleşmesini sonlandırdı.

Hedef alınmış bir cihaz bildirimini aldınız mı? Güvenli bir şekilde iletişime geçmek için zackwhittaker.1337 kullanıcı adıyla Signal üzerinden iletişim kurabilirsiniz.