CVE-2025-55177 — WhatsApp (iOS/macOS): niepełna autoryzacja komunikatów synchronizacji urządzeń połączonych

TL;DR

CVE‑2025‑55177 to błąd niepełnej autoryzacji w mechanizmie „Linked devices” WhatsAppa (iOS/macOS), który pozwalał niepowiązanemu napastnikowi wymusić przetwarzanie treści spod dowolnego URL na urządzeniu ofiary. Sam w sobie ma umiarkowane CVSS (5.4), ale w łańcuchu z iOS/macOS ImageIO (CVE‑2025‑43300) mógł prowadzić do zero‑click RCE i instalacji spyware w silnie ukierunkowanych kampaniach. Zalecane: aktualizacja WhatsApp ≥ 2.25.21.73 (iOS) / 2.25.21.78 (Business iOS, Mac), włączenie Lockdown Mode dla użytkowników wysokiego ryzyka, przegląd urządzeń połączonych, telemetria sieciowa dla procesu WhatsApp.

Krótka definicja techniczna

Luka wynika z CWE‑863: Incorrect Authorization – niekompletne sprawdzenia uprawnień dla komunikatów synchronizacji urządzeń połączonych w WhatsApp. Skutkiem było wywołanie przez napastnika przetwarzania zdalnej zawartości (arbitrary URL) na urządzeniu ofiary, co w praktyce umożliwiało „podrzucenie” potencjalnie szkodliwej treści parserom systemowym (np. ImageIO).

Gdzie występuje / przykłady platform

• iOS/iPadOS: WhatsApp < 2.25.21.73, WhatsApp Business < 2.25.21.78 (iPhone/iPad).
• macOS: WhatsApp < 2.25.21.78.
• Inne środowiska (Windows, AD, AWS, Azure, GCP, K8s, ESXi, M365): brak bezpośredniego wpływu; obserwacje i detekcje mogą jednak korzystać z SIEM/XDR w tych domenach (np. Microsoft Defender XDR, Elastic). [brak natywnego telemetry w CloudTrail/K8s/M365 dla tej luki]

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Mechanizm Linked devices w WhatsApp umożliwia synchronizację danych czatu między urządzeniem głównym a urządzeniami wtórnymi. W CVE‑2025‑55177 brakowało pełnej autoryzacji wiadomości synchronizacyjnych, przez co osoba niepowiązana mogła spowodować, iż klient pobrał/przetworzył treść z arbitralnego URL. W połączeniu z CVE‑2025‑43300 (ImageIO) – zero‑day w parserze obrazów Apple – przetworzona treść mogła wyzwolić korupcję pamięci i wykonanie kodu bez interakcji użytkownika (zero‑click), co zaobserwowano w kampanii ukierunkowanej na ograniczoną liczbę ofiar (≤200). Skuteczność wynika z połączenia: (1) braku UI (brak kliknięcia), (2) „legitymizacji” ruchu przez aplikację zaufaną oraz (3) łańcuchowania z podatnością systemową.

Artefakty i logi

Źródło / ArtefaktPlatformaPrzykład pól/EIDCo szukaćŚcieżka/Notatka

Unified Logs (OSLog)	macOS	process, eventMessage, subsystem	Wejścia procesu WhatsApp tuż przed crash/alertem, wzmianki o ImageIO, nietypowe URL	Przegląd przez Console.app lub log show; crashy szukaj w DiagnosticReports.
Crash Reports	macOS	Raport .crash	Crashe procesu WhatsApp z ramkami ImageIO/CFNetwork	~/Library/Logs/DiagnosticReports/ oraz /Library/Logs/DiagnosticReports/.
sysdiagnose / logarchive	iOS/macOS	logarchive	Chronologia zdarzeń WhatsApp/CFNetwork, domeny zdalne	Generowanie sysdiagnose i analiza system_logs.logarchive.
Microsoft Defender XDR	macOS/iOS (MTD)	DeviceNetworkEvents (RemoteUrl, InitiatingProcessFileName)	Połączenia WhatsApp do domen spoza allowlisty (np. *.whatsapp.com/.net, *.fbcdn.net, *.facebook.com)	Schemat Advanced Hunting.
Elastic / ECS	macOS	event.category: network, process.name, destination.domain	Nietypowe domeny pochodzące od procesu WhatsApp	EQL/Detection rules.
MDM (Jamf/itd.)	iOS	inwentarz wersji app	Wersje < 2.25.21.73/78	Procedury zbierania sysdiagnose / inwentarz aplikacji.
CloudTrail / K8s audit / M365	—	—	Nie dotyczy bezpośrednio (aplikacja kliencka na iOS/macOS)	[brak danych / poza zakresem]

Detekcja (praktyczne reguły)

Uwaga: reguły są defensywne i mają charakter wzorców do tuningu pod własne źródła logów; nie opisują sposobu nadużycia.

Sigma

title: WhatsApp connects to non-owned domains (macOS) id: 5e7f6c7a-1b0b-4b1a-a1c3-WhatsApp-NonOwnedDomains status: experimental description: Detects WhatsApp initiating network connections to domains outside known Meta/WhatsApp CDNs which may indicate CVE-2025-55177 abuse chain. references: - https://nvd.nist.gov/vuln/detail/CVE-2025-55177 - https://www.whatsapp.com/security/advisories/2025 logsource: category: network_connection product: macos detection: selection: ProcessName|contains: - "WhatsApp" filter_allowed_domains: DestinationDomain|endswith: - ".whatsapp.com" - ".whatsapp.net" - ".fbcdn.net" - ".facebook.com" condition: selection and not filter_allowed_domains fields: - DestinationIp - DestinationPort - DestinationDomain - ProcessName level: medium tags: - attack.T1658 - attack.T1203

Wymagane dopasowanie pól do źródeł w Twoim SIEM; logsource i pola zgodne z konwencją Sigma.

Splunk (SPL)

index=endpoint OR index=network | eval pname=coalesce(process_name, process, Image, InitiatingProcessFileName) | search pname="WhatsApp" OR pname="WhatsApp Helper" | eval domain=coalesce(dest_domain, DestinationHostname, url, RemoteUrl) | where NOT (like(domain, "%.whatsapp.com") OR like(domain, "%.whatsapp.net") OR like(domain, "%.fbcdn.net") OR like(domain, "%.facebook.com")) | stats values(domain) as domains, dc(domain) as uniq by host, pname, dest_ip, dest_port | where uniq>0

KQL (Microsoft Defender XDR – Advanced Hunting)

DeviceNetworkEvents | where InitiatingProcessFileName in~ ("WhatsApp", "WhatsApp Helper") | where isnotempty(RemoteUrl) | where not( RemoteUrl endswith ".whatsapp.com" or RemoteUrl endswith ".whatsapp.net" or RemoteUrl endswith ".fbcdn.net" or RemoteUrl endswith ".facebook.com") | summarize count(), make_set(RemoteUrl, 10) by DeviceName, bin(Timestamp, 1h)

Pola i tabela zgodne z dokumentacją DeviceNetworkEvents.

CloudTrail query (AWS CLI/CloudWatch)

Nie dotyczy bezpośrednio. jeżeli jednak Twoja organizacja loguje ruch proxy do CloudWatch (np. ALB/CloudFront), zastosuj CloudWatch Logs Insights dla dzienników HTTP, filtrując UA/hosty procesu WhatsApp — przykład do adaptacji:

fields @timestamp, @message | filter @message like /WhatsApp/ and not @message like /whatsapp\.com|whatsapp\.net|fbcdn\.net|facebook\.com/ | sort @timestamp desc | limit 100

Elastic / EQL

network where process.name == "WhatsApp" and not (destination.domain matches "*.whatsapp.com" or destination.domain matches "*.whatsapp.net" or destination.domain matches "*.fbcdn.net" or destination.domain matches "*.facebook.com")

Składnia i kontekst EQL wg dokumentacji Elastic.

Heurystyki / korelacje

• Sekwencja czasowa: (a) nietypowe połączenie WhatsApp → obca domena → (b) crash/restart aplikacji lub wpisy ImageIO/CFNetwork → (c) ostrzeżenia MTD/XDR nt. anomalii. Koreluj w oknie ą5 min.
• Kontekst użytkownika: ofiary o profilu wysokiego ryzyka (dziennikarze, NGO, VIP) – priorytet IR. (zero‑click, wysokie TTP APT/komercyjny spyware).
• Wersje aplikacji/OS: detekcja urządzeń z wersjami poniżej bezpiecznych buildów WhatsApp i OS‑ów z CVE‑2025‑43300 przed poprawką.

False positives / tuning

• Legalne media/CDN’y inne niż .whatsapp. / .fbcdn. mogą generować ruch (np. podgląd linków, załączniki) — dostosuj allowlistę do telemetrii.
• Środowiska z TLS inspection / proxy: domena docelowa może być zastąpiona domeną proxy — filtruj po SNI/http_host w logach L7.
• Aplikacje towarzyszące (np. komponenty WebKit Network/Helper na macOS) mogą mieć inne nazwy procesu — rozszerz listę InitiatingProcessFileName.
• Brak crashy nie wyklucza próby — atak może nie trafić w podatny parser lub warunki wyścigu.

Playbook reagowania (IR)

1. Triage i ograniczenie ryzyka
   • Zidentyfikuj urządzenia z WhatsApp < 2.25.21.73 (iOS) / < 2.25.21.78 (Business iOS, Mac). Wymuś aktualizację.
   • Rozważ Lockdown Mode dla użytkowników wysokiego ryzyka (iPhone/iPad/Mac).
   • W WhatsApp: przegląd i usunięcie nieznanych urządzeń połączonych (Linked devices).
2. Zachowanie materiału dowodowego
   • Na iOS: wygeneruj sysdiagnose (czas, data) i zabezpiecz logarchive.
   • Na macOS: zarchiwizuj Crash Reports i Unified Logs związane z WhatsApp/ImageIO.
3. Łowy zagrożeń
   • Uruchom reguły z sekcji 7 w XDR/SIEM; skoreluj z domenami, które nie należą do Meta/WhatsApp.
4. Eradykacja i odtworzenie
   • Aktualizacje OS ze ścieżki CVE‑2025‑43300 (iOS/iPadOS/macOS), reboot.
   • Zresetuj sesje, odśwież tokeny push, rotuj klucze E2E (wylogowanie i ponowne sparowanie urządzeń) — zgodnie z polityką prywatności/ryzyka.
5. Komunikacja
   • Poinformuj użytkowników o incydencie i konieczności aktualizacji; rozważ noty do zespołu prawnego/PR przy potencjalnej ingerencji spyware.

Przykłady z kampanii / case studies

• Eksploatacja łańcuchowa: WhatsApp (CVE‑2025‑55177) → Apple ImageIO (CVE‑2025‑43300) → zero‑click na iOS/macOS; ≤200 celów globalnie, profil wysokiego ryzyka.
• Potwierdzenie KEV (CISA): luka dodana do Known Exploited Vulnerabilities 2025‑09‑02.
• Doniesienia branżowe: vendor advisories i analizy potwierdzają użycie luki w wysoko ukierunkowanych atakach z łańcuchowaniem do CVE‑2025‑43300.

Lab (bezpieczne testy) — przykładowe komendy

Wyłącznie w środowisku testowym / bez symulacji eksploitu. Celem jest weryfikacja widoczności i reguł.

macOS

# Sprawdź wersję aplikacji (App Store build) mdls -name kMDItemVersion "/Applications/WhatsApp.app" # Szybki podgląd aktywności procesu w logach z ostatnich 2h log show --last 2h --predicate 'process == "WhatsApp"' --style syslog | head # Wykaz bieżących połączeń sieciowych aplikacji sudo lsof -i -a -c WhatsApp

iOS (bez jailbreak)

• Wygeneruj sysdiagnose (kombinacja przycisków zg. z instrukcją Apple), zgraj i załaduj system_logs.logarchive do narzędzia analitycznego.

XDR/SIEM

• Uruchom zapytania z sekcji 7 i zweryfikuj, iż połączenia do dozwolonych CDN nie generują alertów (tuning allowlisty).

Mapowania (Mitigations, Powiązane techniki)

Mitigations (ATT&CK):

• M1051 — Update Software: aktualizacje WhatsApp i OS (iOS/iPadOS/macOS).
• M1042 — Disable or Remove Feature or Program: ogranicz lub wyłącz „Linked devices” dla grup wysokiego ryzyka (polityka MDM).
• M1021 — Restrict Web‑Based Content: filtrowanie URL/SNI, SSL inspection z ostrożnością, polityki DLP dla mediów.

Powiązane techniki (do rozważenia w polu):

• T1071.001 — Web Protocols (C2/Delivery przez HTTP/HTTPS) dla etapów późniejszych lub alternatywnych ścieżek.

Źródła / dalsza literatura

• NVD — CVE‑2025‑55177 (opis, CVSS CNA 5.4, CWE‑863, KEV): „Incomplete authorization of linked device synchronization messages…”. (NVD)
• CVE.org — rekord (Meta CNA). (CVE)
• WhatsApp Security Advisories 2025 (wersje naprawcze; łańcuch z CVE‑2025‑43300). (whatsapp.com)
• CISA KEV (dodanie do katalogu 2025‑09‑02). (CISA)
• Apple / CVE‑2025‑43300 (ImageIO, out‑of‑bounds write; backporty): wsparcie i NVD. (Apple Support)
• Unit 42 (kontekst łańcuchów zero‑click); The Hacker News, SecurityWeek (streszczenia). (Unit 42)
• Apple forensics i logi: sysdiagnose / logarchive / Crash Reports (ścieżki). (Apple Podcasts)
• ATT&CK Mobile/Enterprise (T1658, T1664, T1203; v18). (MITRE ATT&CK)

Checklisty dla SOC / CISO

SOC:

• Wdrożone reguły z sekcji 7 (XDR/SIEM) + allowlista domen Meta/WhatsApp.
• Raport urządzeń z wersjami WhatsApp < 2.25.21.73/78 i OS bez łatki CVE‑2025‑43300.
• Procedura zbierania sysdiagnose/logarchive i Crash Reports gotowa na żądanie IR.
• Korelacje: połączenie WhatsApp → obca domena + wpisy ImageIO/crash w ą5 min.

CISO:

• Polityka MDM: wymuszona aktualizacja WhatsApp/OS; Lockdown Mode dla wysokiego ryzyka.
• Przegląd i ograniczenie Linked devices w organizacji (edukacja + kontrola).
• Potwierdzona zgodność z CISA KEV (SLA na patching).
• Test stołowy: scenariusz zero‑click na urządzeniach mobilnych (triage + komunikacja).