Архив метки: WhatsApp

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177). Это продолжение истории про Memory Corruption/RCE - ImageIO (CVE-2025-43300).

🧩 29 августа Meta (признана экстремистской организацией в России) предупредила часть пользователей WhatsApp о возможной компрометации их устройств. 🎯 0day уязвимость в WhatsApp для iOS и Mac (CVE-2025-55177) позволяла злодеям инициировать обработку контента из произвольного URL-а из-за "неполной авторизации сообщений синхронизации связанных устройств". Затем они эксплуатировали знакомую RCE при обработке DNG файлов (CVE-2025-43300).

Злоумышленники наверняка найдут и другие способы доставки зловрденых DNG-шек. 😉

И что же делать? Кроме перехода на MAX и Аврору. 😉

♻️ своевременно обновлять приложения и ОС

🛡 использовать iOS Lockdown Mode / Android Advanced Protection Mode

🔄 при подозрении на компрометацию сбрасывать устройство к заводским настройкам

Занимательно порефлексировать над очередным набросом Дурова на WhatsApp

Занимательно порефлексировать над очередным набросом Дурова на WhatsApp. Он там делает далеко идущие выводы, что очередная исправленная RCE уязвимость в WhatsApp это на самом деле умышленно добавленный бэкдор. 🙂 И что эта уязвимость давала доступ ко всем файлам на телефоне пользователей. И поэтому ради безопасности своих данных не пользуйтесь WhatsApp-ом.

Нет, ну что такая атака с использованием WhatsApp в принципе возможна, мы ещё по кейсу с Pegasus от NSO Group помним. Но не настолько же все тривиально! То, что используется в десятках таргетированных атак вряд ли будет долго и массово использоваться против простых обывателей.

С тем же успехом можно сказать, что, например, уязвимость в виндовом клиенте Telegram это тоже был бэкдор. 🙂

С другой стороны, является ли смартфон с удаленным ватсапом или даже телеграммом безопасным устройством? Нет конечно! Он как был убогой пальцетыкалкой с нелепым обрубком вместо операционной системы так и остался. Обрубком, который был вкорячен на конкретную железку матюками и грязными хаками, так что поставить туда что-то альтернативное в общем случае не получится, только попользоваться пару лет и выкинуть. На каждый чих по приложению требующему максимум прав. Дичь ведь. И всё это намертво завязано на американский бигтех и им же полность контролируется. Использовать смартфон с Android или iOS для чего-то чем вы не готовы сейчас же поделиться со всем миром это очень плохая идея. Если вы так делаете, прекращайте.