חברת מטא (Meta) הודיעה ביום שישי כי תיקנה פרצת אבטחה חמורה באפליקציית וואטסאפ למערכות ההפעלה iOS ו-Mac. הפרצה, שזוהתה רשמית כ-CVE-2025-55177, נוצלה באופן פעיל על ידי תוקפים כדי לפרוץ למכשירי אפל של "משתמשים ספציפיים שהיוו יעד למתקפה".
הסכנה המרכזית בפרצה זו טמונה באופי הפעולה שלה. מדובר במתקפת "אפס-קליק" (Zero-click), כלומר, כדי להדביק את המכשיר ברוגלה, המשתמש לא נדרש לבצע שום פעולה, לא ללחוץ על קישור, לא לפתוח קובץ ולא לענות לשיחה. התוקפים הצליחו לנצל את הפרצה בוואטסאפ בשילוב עם פרצה נוספת במערכת ההפעלה של אפל (שזוהתה כ-CVE-2025-43300 ותוקנה על ידי אפל בשבוע שעבר), כדי לשלוח קוד זדוני דרך וואטסאפ שהיה מסוגל להשתלט על המכשיר ולגנוב ממנו מידע רגיש, כולל תוכן ההודעות.
דונחה או'קרול, ראש מעבדת האבטחה של ארגון אמנסטי אינטרנשיונל, תיאר את המתקפה כ"קמפיין ריגול מתקדם" שפעל במהלך 90 הימים האחרונים, מאז סוף חודש מאי. על פי הודעה ששלחה וואטסאפ למשתמשים שנפגעו, המתקפה הייתה יכולה "לפגוע במכשיר של המשתמש ובמידע שהוא מכיל". דובר מטעם מטא אישר כי החברה זיהתה ותיקנה את הפרצה "לפני מספר שבועות", וכי נשלחו התראות ל"פחות מ-200" משתמשים שנפגעו מהמתקפה. בשלב זה, החברה לא מסרה מידע לגבי זהות התוקפים או חברת הריגול שעומדת מאחורי הפעולה.
בעקבות המקרה, חברת מטא הוציאה מספר טיפים להתנהלות נכונה מצד המשתמשים:
אין זו הפעם הראשונה שפלטפורמת המסרים הפופולרית הופכת יעד לחברות המפתחות רוגלות עבור ממשלות וגופי ביון. המקרה המפורסם ביותר הוא קמפיין התקיפה של חברת NSO הישראלית בשנת 2019, אז נוצלה פרצה דומה כדי להתקין את רוגלת "פגסוס" על מכשירים של כ-1,400 משתמשים, ביניהם עיתונאים ופעילי זכויות אדם. וואטסאפ תבעה את NSO על המעשה, ובחודש מאי האחרון פסק בית משפט בארצות הברית כי על NSO לשלם לוואטסאפ פיצויים בסך 167 מיליון דולר.
מוקדם יותר השנה, וואטסאפ סיכלה קמפיין ריגול נוסף שהשתמש ברוגלה של חברת Paragon כדי לתקוף כ-90 משתמשים באיטליה, ביניהם עיתונאים ונציגי החברה האזרחית. התיקון הנוכחי של וואטסאפ ואפל סוגר את וקטור התקיפה הספציפי הזה, אך האירוע מהווה תזכורת נוספת למאבק המתמשך בין ענקיות הטכנולוגיה לבין תעשיית הריגול המתוחכמת, הממשיכה לחפש דרכים לעקוף את מנגנוני ההגנה של האפליקציות הפופולריות בעולם.
