In den letzten Tagen wurde eine ernste Warnung ausgesprochen: eine Zero-Click-Sicherheitslücke in WhatsApp Es betraf iOS- und macOS-Nutzer und wurde aktiv in einer breiteren Angriffskette ausgenutzt, die auch einen Fehler auf Betriebssystemebene bei Apple ausnutzte. Der Fall wurde zwar behoben, aber die Episode eröffnet erneut die Debatte über den Anstieg von Kampagnen, die mehrere Zero-Days miteinander verketten, um Spyware ohne Benutzerinteraktion bereitstellen.
Das Gesamtbild umfasst zwei Schlüsselelemente: den WhatsApp-Fehler, der als CVE-2025-55177und Apples Zero-Day CVE-2025-43300Offiziellen Warnungen und der Bestätigung von Forschern von Organisationen wie Amnesty International zufolge dauerte der Angriff etwa 90 Tage und richtete sich gegen eine kleine Gruppe von Menschen. weniger als 200 Ziele, in einer sehr gezielten Operation. Obwohl Meta und Apple schnell mit Patches reagierten, wurden wirkungsvolle Maßnahmen empfohlen, wie z. B. Werksreset von potenziell kompromittierten Geräten.
Was ist passiert und warum ist es wichtig?
Ende August brachte Apple ein Notfall-Update um CVE-2025-43300 zu schließen, ein kritisches Out-of-Bounds-Schreibproblem in seinem Imaging-Framework (ImageIO), das iOS, iPadOS und macOS betrifft. Das Unternehmen erkannte aktive Ausbeutung und beschrieb äußerst raffinierte Angriffe gegen bestimmte Personen. Vor diesem Hintergrund wurde nun ein zweiter Zusammenhang bestätigt: CVE-2025-55177 auf WhatsApp für iOS und macOS.
Der WhatsApp-Fehler ist in den letzten Versionen bereits behoben, wurde aber in Kombination mit dem Apple-Fehler verwendet, um eine Zero-Click-Ausbeutungskette. Bei diesem Ansatz muss das Opfer nichts öffnen oder das Telefon berühren: Es reicht aus, wenn das Gerät schädliche Inhalte verarbeitet, die über die entsprechenden Kanäle eintreffen. reduziert die Reibung auf Null für den Angreifer und erhöht das Risiko.
Dieser Fall passt in einen klaren Trend: Fortgeschrittene Akteure verketten mehrere Schwachstellen zu Kontrollen umgehen und Persistenz erreichen. Es ist kein neues Phänomen, aber seine Nutzung hat in den letzten vier Jahren stetig zugenommen; Googles Threat Analysis Group verzeichnete 75 Zero-Day-Angriffe werden bis 2024 aktiv ausgenutzt, und im Jahr 2025 bleiben Zero-Day-Angriffe bei etwa einem Drittel aller Angriffe der primäre Angriffsvektor.
WhatsApp benachrichtigte die möglicherweise Betroffenen direkt und empfahl neben dem Patch auch entschlossenes Handeln: das Gerät auf die Werkseinstellungen zurücksetzenDer Grund liegt auf der Hand: Selbst wenn der spezifische Exploit in WhatsApp deaktiviert ist, ist es möglich, dass das System bleiben Sie engagiert durch persistente Malware-Komponenten.
So funktioniert ein Zero-Click-Angriff
Ein Zero-Click-Angriff ist im Grunde ein Exploit, der keine Interaktion erforderlich auf Seiten des Benutzers. Weder das Öffnen einer Nachricht, noch das Klicken auf einen Link, noch das Herunterladen von etwas: Alles, was nötig ist, ist, dass das System eine bösartige Eingabe empfängt und verarbeitet. Durch die Eliminierung des Eingriffs des Opfers ist diese Art der Ausbeutung besonders gefährlich und schwer rechtzeitig zu erkennen.
Im untersuchten Fall startete der Vektor von WhatsApp und nutzte eine unzureichende Berechtigungsprüfung im Synchronisierungsfluss verknüpfter Geräte. Nach diesem ersten Anlauf kombinierte die Kette mit einer Apple-Sicherheitslücke, um Berechtigungen zu erhöhen, zu bestehen und möglicherweise auszuliefern Spyware mit erweiterten Funktionen (u.a. Zugriff auf Daten, Mikrofon oder Kamera).
Der Schlüssel liegt darin, dass WhatsApp mit eingeschränkten Berechtigungen ausgeführt wird, sodass für einen vollständigen Angriff häufig eine zweite Ebene im System erforderlich ist, um Beständigkeit und umfassendere Funktionen zu erlangen. Kette von Fehlern Dies wurde hier beobachtet.
Aus der Verteidigungsperspektive zwingt uns Zero-Click dazu, die Angriffsfläche an Punkten, an denen das System Inhalte automatisch verarbeitet (Medienparser, Bildbibliotheken, Synchronisierungsroutinen), da diese für Angreifer mit Ressourcen zu vorrangigen Zielen werden.
Technische Details zu CVE-2025-55177 (WhatsApp)
Die Kennung CVE-2025-55177 beschreibt eine unvollständige Autorisierung von Synchronisierungsnachrichten auf verknüpften WhatsApp-Geräten. In der Praxis hätte diese laxe Überprüfung einem Remote-Akteur ermöglicht, Zwangsverarbeitung von Inhalten von einer beliebigen URL auf dem Gerät des Opfers, ohne dass eine Interaktion erforderlich ist.
WhatsApp sagte, die Sicherheitslücke sei in gezielten Angriffen ausgenutztund die eine geringe Anzahl von Opfern (weniger als 200) in den letzten drei Monaten schätzen. Der Schweregrad einiger öffentlicher Notizen ist CVSS 5.4; seine tatsächliche Wirkung nimmt jedoch zu, wenn es Teil einer Zero-Click-Kette mit einem Zero-Day-System.
In Bezug auf die Auswirkungen weist der Hinweis des Anbieters darauf hin, dass das Problem mehrere Zweige der App betrifft: WhatsApp für iOS vor Version 2.25.21.73; WhatsApp Business für iOS vor dem 2.25.21.78; und WhatsApp für Mac vor 2.25.21.78. Diese Versionen haben bereits veröffentlichte Patches.
Meta und WhatsApp empfahlen, zusätzlich zur Aktualisierung außergewöhnliche Eindämmungsmaßnahmen zu ergreifen, wenn es Anzeichen für eine Kompromittierung gibt: Werkseinstellungen zurückgesetzt, aktualisieren Sie das Betriebssystem und überprüfen Sie dann die Einstellungen und Berechtigungen.
Der Apple-Link: CVE-2025-43300 und Updates
Das andere Stück der Kette ist CVE-2025-43300, ein Schreiben außerhalb der Grenzen in ImageIO Apple hat Ende August einen Patch veröffentlicht. Das Unternehmen veröffentlichte Notfall-Updates für iOS, iPadOS und macOS und gab an, dass es Berichte über aktive Ausnutzung bestimmter Ziele gebe. Die Angriffe wurden wie folgt beschrieben: äußerst anspruchsvoll.
Versionen mit Fehlerbehebungen umfassen iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 y macOS Venture 13.7.8. Obwohl Apple keine detaillierten technischen Details veröffentlicht hat, waren Bildverarbeitungs-Frameworks in der Vergangenheit vorrangige Kandidaten für Angreifer aufgrund der großen Menge an Inhalten, die von System-Apps und -Diensten „aufgenommen“ werden.
Unabhängige Experten betonen, dass sich der potenzielle Anwendungsbereich erweitert, wenn eine zentrale Bildbibliothek wie ImageIO einen ausnutzbaren Fehler aufweist, wie mehrere Anwendungen könnten zu Eingabevektoren werden, nicht nur zu einer bestimmten App.
Umfang, Opfer und Zuschreibung
Meta bestätigte, dass es potenziell betroffene Personen benachrichtigt habe und dass die Anzahl der Ziele waren weniger als 200. Donncha Ó Cearbhaill vom Sicherheitslabor von Amnesty International sagte, es handele sich um eine Kampagne von fortgeschrittene Spyware die in den letzten 90 Tagen im Einsatz gewesen wären und Mitglieder der Zivilgesellschaft, Journalisten und andere sensible Personengruppen betroffen hätten.
In seiner öffentlichen Analyse warnte Amnesty, dass die Auswirkungen möglicherweise nicht auf eine einzelne Plattform beschränkt bleiben würden, und verwies auf Anzeichen von Auswirkungen auf iPhone und AndroidGleichzeitig haben WhatsApp und Apple den Umfang der betroffenen Versionen und Systeme klar spezifiziert, so dass die unmittelbare Maßnahme darin besteht, alle Updates anwenden verfügbar und befolgen Sie die Eindämmungsempfehlungen.
Experte Pierluigi Paganini wertete den Vorfall als Erinnerung daran, dass selbst massive und gut verteidigte Plattformen freiliegende OberflächenDer Einsatz von Zero-Click in staatlichen und kommerziellen Überwachungskampagnen hat zugenommen, was die Notwendigkeit verbesserter Kontrollen verstärkt. Transparenz und Auditierung der Sicherheit.
Betroffene Versionen und verfügbare Patches
WhatsApp hat Fixes veröffentlicht für alle betroffenen Filialen seiner Kunden bei Apple:
- WhatsApp für iOS- Update auf 2.25.21.73 oder höher.
- WhatsApp Business für iOS- Update auf 2.25.21.78 oder höher.
- WhatsApp für Mac- Update auf 2.25.21.78 oder höher.
Von Apple-Seite ist es zwingend erforderlich, die gepatchten Versionen zu installieren: iOS 18.6.2, iPadOS 18.6.2 / 17.7.10, macOS 15.6.1 / 14.7.8 / 13.7.8Da die beobachtete Kette App und System kombiniert, erfordert ein wirksamer Schutz beide aktualisieren.
Darüber hinaus hat die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat CVE-2025-55177 zu seinem Katalog von Bekannte ausgenutzte Sicherheitslücken (KEV) am 2. September und forderte die Bundesbehörden auf, den Patch bis zum 23. September bereitzustellen, was die Dringlichkeit des Falles unterstreicht.
Dringende Empfehlungen für Benutzer
Obwohl der Patch jetzt verfügbar ist, ist es ratsam, entsprechende Maßnahmen zu ergreifen, wenn Sie eine Benachrichtigung erhalten haben oder einen Kompromiss vermuten. Eindämmung und Hygiene strenger, wie etwa die Überprüfung sichern und befolgen Sie die angegebenen Schritte:
- Aktualisieren Sie WhatsApp (iOS, Business und Mac) auf die angegebenen Versionen oder höher.
- Wenden Sie alle iOS-, iPadOS- und macOS-Updates mit aktuellen Sicherheitspatches.
- Wenn Anzeichen eines Eindringens vorliegen, führen Sie eine Werksreset vom Gerät und installieren Sie es von Grund auf neu.
- Überprüfen und härten Berechtigungen von Apps, deaktivieren Sie unnötige Funktionen und aktivieren Sie 2FA, wo es angebracht ist.
Diese Maßnahmen minimieren die Möglichkeit der Persistenz schädliche Komponenten die durch Ausnutzung der Exploit-Kette installiert wurden, und verringern das Risiko erneuter Infektionsversuche.
Maßnahmen für Unternehmen und Sicherheitsteams
In Unternehmensumgebungen liegt die Priorität das Patchen orchestrieren Überprüfen Sie mit MDM-Lösungen die Versionskonformität und überwachen Sie Anzeichen für anormales Verhalten auf Endpunkten und Konten.
Wichtige Empfehlungen für SOC- und Bedrohungsjagdteams: Protokolle sammeln und analysieren im Zusammenhang mit Messaging, Synchronisierung zwischen verbundenen Geräten, Netzwerk-Ereignissen und Multimedia-Prozessen, Suche nach ungewöhnlichen Mustern.
Bei begründeten Verdachtsmomenten empfiehlt es sich, Verfahren einzuleiten forensische Analyse (logischer Dump/Datei, Persistenzüberprüfungen und Ausführungsprofile) und koordinieren Sie mit dem EDR-Anbieter temporäre Eindämmungsregeln.
Es ist sinnvoll, ein spezielles Playbook zu definieren für Zero-Click-Messaging-Apps, da sich die Eingabeflüsse und die Inhaltsanalyse von herkömmlichen Phishing-basierten Angriffen unterscheiden.
Erkennung und Reaktion: SOC Prime und Uncoder AI
Um die Erkennungskapazität zu stärken, SOC Prime-Plattform bietet Zugang zu einem globalen Markt mit mehr als 600.000 Erkennungsregeln und Abfragen, die von spezialisierten Ingenieuren erstellt, täglich aktualisiert und angereichert werden mit Intelligenz der Amenazas.
Diese Erkennungen sind ausgerichtet auf MITRE ATT & CK und umfassen CTI-Links, Angriffszeitpläne, Audit-Konfigurationen, Triage-Empfehlungen und Metadaten, was es einfacher macht, taktisch-technische Kartierung und Funktionsfähigkeit über mehrere SIEMs, EDRs und Datenseen hinweg.
Teams können die Sammlung verhaltensbasierter Sigma-Regeln unter dem Label „CVE“ mithilfe der Funktion erkunden Entdecken Sie die Erkennungen, beschleunigte Abwehr aktiver und neu auftretender Bedrohungen rund um CVE-2025-55177.
Zusätzlich Uncoder AI —die Erkennungs-Engineering-IDE/Copilot—verfügt über einen Chat-Modus und Unterstützung für MCP-Tools, wodurch IOCs in Jagdberatungen Generieren Sie in Sekundenschnelle Erkennungscode aus Rohberichten, erstellen Sie Angriffsflussdiagramme, prognostizieren Sie ATT&CK-Tags, optimieren Sie Abfragen mit KI und übersetzen Sie Inhalte zwischen Plattformen.
Trends: Der Anstieg verketteter Zero-Day-Angriffe
Die letzten Jahre zeigen einen anhaltenden Anstieg Ausnutzung von Zero-Day-Angriffen, mit geringen jährlichen Schwankungen. Der Google TAG dokumentiert 75 Fälle im Jahr 2024, und im Jahr 2025 sind Zero-Day-Angriffe bei etwa einem Drittel der Einbruchsversuche weiterhin der primäre Mechanismus für den Erstzugriff.
Akteure mit mehr Ressourcen neigen dazu, Verkettung von Schwachstellen —App + System—, um moderne Abwehrmaßnahmen zu umgehen, was die Verteidigungslatte höher legt: Ein einzelner Patch reicht nicht mehr aus, aber koordinierte Abdeckung Dazu gehört auch die Erkennung nach der Ausnutzung.
In diesem Zusammenhang sind Frameworks wie ATT&CK und Community-Repositorien für verhaltenszentrierte Erkennungen (z. B. Sigma) helfen dabei, Abdeckungen zu verallgemeinern, die nicht von fragilen Indikatoren abhängen.
Der Fall WhatsApp/Apple bestätigt, dass Inhaltsparser und „stille“ Abläufe (ohne Benutzerklicks) werden aufgrund ihres Potenzials, Systeme unbemerkt zu kompromittieren, weiterhin im Rampenlicht stehen.
Chronologie und offizielle Validierung
Apple hat Ende August Notfall-Patches für CVE-2025-43300 und warnte vor aktiver Ausbeutung bestimmter Opfer. WhatsApp veröffentlichte daraufhin Updates im Juli und August um CVE-2025-55177 auf iOS, Business und Mac zu beheben.
Am 2. September CISA CVE-2025-55177 in seinen KEV-Katalog aufgenommen und damit die US-Bundesbehörden dazu gezwungen, Patch vor dem 23. SeptemberParallel dazu verschickte WhatsApp Warnmeldungen an potenziell Betroffene und empfahl die Werksreset und halten Sie das Betriebssystem auf dem neuesten Stand.
In der Meta-Erklärung wurde betont, dass bereits Änderungen vorgenommen worden seien, um eine Wiederholung des dieser spezielle Angriff über WhatsApp und fügte hinzu, dass das Betriebssystem weiterhin gefährdet sein könnte, wenn Spuren der Malware bestehen bleiben.
WhatsApp vs. Spyware – Hintergrund
Dieser Vorfall ist kein Einzelfall. Im März berichteten Forscher des Citizen Lab über einen weiteren Zero-Day-Fehler die ausgenutzt wurde, um Paragons Graphite-Spyware zu installieren; WhatsApp gab bekannt, dass es diese Kampagne eingestellt habe und Kontakt zu den Opfern.
Darüber hinaus verklagte WhatsApp 2019 die NSO-Gruppe von Pegasus. Im Mai 2024 verurteilte ein US-Gericht NSO zur Zahlung 167 Mio. Dies bestärkt die Annahme, dass Plattformen bereit sind, gerichtlich gegen diese Vorgänge vorzugehen.
Das wiederholte Auftreten dieser Fälle hat Meta und die Sicherheitsgemeinschaft dazu veranlasst, sich für stärkere Kontrollen, sowie mehr Transparenz bei den Offenlegungsprozessen und koordinierten Patches.
Android: Sicherheitspatch vom September 2025
Obwohl der zentrale Vorfall Apple-Systeme betrifft, ist auch die mobile Landschaft im Allgemeinen im Wandel. Google veröffentlichte die Sicherheitspatch vom September 2025 für Android, wobei 84 Sicherheitslücken behoben wurden, darunter zwei, die aktiv ausgenutzt werden: CVE-2025-38352 (Race Condition in Linux-Kernel-POSIX-Timern mit Privilegieneskalation/DoS) und CVE-2025-48543 (Android Runtime-Fehler, der schädliche Apps ermöglicht dem Sandkasten ausweichen).
Außerdem wurden vier kritische Schwachstellen behoben, darunter CVE-2025-48539, ein RCE in der SYSTEM-Komponente, der ohne Benutzerinteraktion über Bluetooth oder WLAN aktiviert werden kann. Drei weitere (CVE-2025-21450, CVE-2025-21483, CVE-2025-27034) beeinträchtigen Qualcomm-Komponenten, mit Speicherbeschädigungen und Validierungsfehlern, die RCE auf dem Basisbandmodem.
Für Android 13 bis 16 sind Patches verfügbar und es wird empfohlen, auf die neuesten Versionen zu aktualisieren. 2025-09-01 o 2025-09-05. Für Geräte mit Android 12 oder früher ist es sinnvoll, Sie ersetzen oder aktiv unterstützte Distributionen verwenden. Weitere öffentliche Details wurden in Diese Mitteilung.
Dieser Kontext erinnert uns daran, dass Patch-Hygiene und Geräte-Governance unabhängig vom Ökosystem kritisch bleiben um die Angriffsfläche gegen Zero-Click-Exploits zu reduzieren.
Spezialisierte Dienstleistungen und externe Unterstützung
Über Patches hinaus verlassen sich manche Organisationen lieber auf Anbieter mit erweiterten Patchfunktionen. Cybersicherheit und Entwicklung um ihre Position zu stärken. Firmen wie Q2BSTUDIO kombinieren kundenspezifische Software- und App-Entwicklung, künstliche Intelligenz und Cloud-verwaltete Dienste (AWS/Azure), um Patches sicher bereitzustellen und Erkennungen zu skalieren.
Zu diesen Dienstleistungen gehören Härtungsverfahren, Penetrationstests und Audits sowie Business Intelligence-Lösungen (z. B. Power BI) zur Visualisierung von Risiken und Betriebskennzahlen. Sie entwickeln auch KI-Agenten zur Echtzeit-Erkennung von Anomalien und Automatisierung der Reaktion auf Vorfälle.
Referenzen und amtliche Hinweise
Wenn Sie weitere technische Informationen benötigen, können Sie öffentliche Quellen und Anbieterhinweise konsultieren: NVD (CVE-2025-55177), Meta-Sicherheitshinweis, Die Hacker Nachrichten y PiependerComputer, zusätzlich zu Apple-Updates erwähnt.
Alles deutet darauf hin, dass die beste Verteidigung darin besteht, das System und die Apps auf dem neuesten Stand zu halten, Konfigurationen zu härten, zu integrieren verhaltensbasierte Erkennung und haben Reaktions-Playbooks. Die Lehre aus dieser Kampagne ist klar: Wenn ein Akteur einen App-Fehler mit einem Zero-Day des SystemsDa die Zeit, die für eine rechtzeitige Erkennung erforderlich ist, immer geringer wird, ist es ratsam, die Messlatte für Prävention und Überwachung nachhaltig höher zu legen.