WhatsApp telah mengatasi kerentanan keamanan pada aplikasi pesan untuk Apple iOS dan macOS yang diduga telah dieksploitasi secara luas bersamaan dengan cacat Apple yang baru-baru ini diungkapkan dalam serangan zero-day yang ditargetkan.
Kerentanan ini, yang diberi kode CVE-2025-55177 (skor CVSS: 8.0), terkait dengan kasus otorisasi yang tidak memadai dari pesan sinkronisasi perangkat yang ditautkan. Tim Keamanan WhatsApp internal diberi penghargaan atas penemuan dan penilaian ulang bug tersebut. Perusahaan yang dimiliki Meta ini menyatakan bahwa masalah ini “dapat memungkinkan pengguna yang tidak terkait memicu pemrosesan konten dari URL arbitrer pada perangkat target.”
Kerentanan ini memengaruhi versi WhatsApp untuk iOS sebelum versi 2.25.21.73, WhatsApp Business untuk iOS versi 2.25.21.78, dan WhatsApp untuk Mac versi 2.25.21.78. Penilaian juga dilakukan bahwa kekurangan ini mungkin telah dirangkai dengan CVE-2025-43300, kerentanan yang memengaruhi iOS, iPadOS, dan macOS, sebagai bagian dari serangan canggih terhadap pengguna tertentu yang ditargetkan. CVE-2025-43300 diungkapkan oleh Apple sebagai telah dipersenjatai dalam “serangan yang sangat canggih terhadap individu-individu yang ditargetkan secara spesifik.” Kerentanan yang dimaksud adalah kerentanan out-of-bounds write dalam framework ImageIO yang dapat mengakibatkan kerusakan memori saat memproses gambar berbahaya.
Donncha Ó Cearbhaill, kepala Laboratorium Keamanan di Amnesty International, mengatakan bahwa WhatsApp telah memberi tahu sejumlah individu yang tidak ditentukan bahwa mereka diyakini menjadi sasaran kampanye spyware tingkat lanjut dalam 90 hari terakhir menggunakan CVE-2025-55177. Dalam peringatan yang dikirim ke individu yang ditargetkan, WhatsApp juga merekomendasikan untuk melakukan pengaturan ulang pabrik perangkat secara penuh dan menjaga sistem operasi serta aplikasi WhatsApp mereka tetap mutakhir untuk perlindungan optimal. Saat ini tidak diketahui siapa, atau vendor spyware mana, yang berada di balik serangan tersebut.
Ó Cearbhaill menggambarkan pasangan kerentanan ini sebagai serangan “zero-click,” yang berarti tidak memerlukan interaksi pengguna apa pun, seperti mengklik tautan, untuk membahayakan perangkat mereka. “Indikasi awal adalah bahwa serangan WhatsApp memengaruhi pengguna iPhone dan Android, termasuk individu masyarakat sipil,” kata Ó Cearbhaill. “Spyware pemerintah terus menjadi ancaman bagi jurnalis dan pembela hak asasi manusia.” Insiden ini menyoroti pentingnya pembaruan keamanan yang berkelanjutan dan kewaspadaan dalam menghadapi ancaman dunia maya yang terus berkembang. WhatsApp, sebagai platform komunikasi yang banyak digunakan, tetap menjadi target utama aktor jahat, sehingga memerlukan upaya berkelanjutan untuk melindungi pengguna dari potensi serangan.
Kerentanan yang ditangani oleh WhatsApp melibatkan otorisasi yang tidak memadai dari pesan sinkronisasi perangkat yang ditautkan. Ini berarti bahwa penyerang dapat memanipulasi proses sinkronisasi untuk memicu pemrosesan konten berbahaya dari URL arbitrer pada perangkat target. Ini dapat dieksploitasi untuk mengeksekusi kode berbahaya, mencuri data sensitif, atau melakukan tindakan lain yang tidak sah pada perangkat korban. Kombinasi dengan CVE-2025-43300, kerentanan dalam framework ImageIO Apple, meningkatkan tingkat keparahan serangan. Kerentanan out-of-bounds write dalam ImageIO dapat memungkinkan penyerang untuk menulis data di luar batas memori yang dialokasikan, yang menyebabkan kerusakan memori dan potensi eksekusi kode. Dengan menggabungkan kedua kerentanan ini, penyerang dapat membuat serangan yang sangat efektif dan sulit dideteksi.
Peringatan yang dikeluarkan oleh WhatsApp merekomendasikan agar pengguna melakukan pengaturan ulang pabrik perangkat mereka. Ini adalah langkah drastis tetapi diperlukan untuk memastikan bahwa setiap malware atau spyware yang mungkin telah diinstal pada perangkat dihapus sepenuhnya. Selain itu, pengguna disarankan untuk menjaga sistem operasi dan aplikasi WhatsApp mereka tetap mutakhir. Pembaruan keamanan secara teratur sangat penting untuk menambal kerentanan dan melindungi perangkat dari ancaman yang diketahui. Investigasi yang sedang berlangsung untuk mengungkap pelaku di balik serangan ini sangat penting untuk meminta pertanggungjawaban mereka dan mencegah serangan di masa mendatang. Sangat penting bagi badan penegak hukum dan perusahaan keamanan siber untuk berkolaborasi dalam penyelidikan semacam itu untuk mengidentifikasi dan mengganggu operasi spyware pemerintah.
Kasus ini juga menyoroti peran penting yang dimainkan oleh peneliti keamanan dalam mengidentifikasi dan melaporkan kerentanan. Tim Keamanan WhatsApp internal diberi penghargaan atas penemuan dan penilaian ulang bug tersebut. Ini menunjukkan pentingnya memiliki tim keamanan yang berdedikasi yang dapat secara proaktif mencari kerentanan dan bekerja untuk menambalnya sebelum dieksploitasi oleh penyerang. Pengungkapan kerentanan oleh Apple dan respons cepat WhatsApp menunjukkan komitmen mereka terhadap keamanan pengguna. Namun, penting untuk diingat bahwa tidak ada sistem yang sepenuhnya aman, dan kerentanan baru akan terus ditemukan. Pengguna harus tetap waspada dan mengambil langkah-langkah untuk melindungi diri mereka sendiri, seperti menggunakan kata sandi yang kuat, mengaktifkan otentikasi dua faktor, dan berhati-hati saat mengklik tautan atau mengunduh lampiran dari sumber yang tidak dikenal.
Ancaman spyware pemerintah merupakan keprihatinan yang berkembang, terutama bagi jurnalis, pembela hak asasi manusia, dan individu lain yang mungkin menjadi sasaran pengawasan. Spyware dapat digunakan untuk memantau komunikasi, melacak lokasi, dan mencuri data sensitif. Sangat penting bagi individu dan organisasi untuk menyadari risiko dan mengambil langkah-langkah untuk melindungi diri mereka sendiri. Ini mungkin termasuk menggunakan aplikasi perpesanan yang aman, mengenkripsi komunikasi, dan menggunakan jaringan pribadi virtual (VPN). Insiden ini berfungsi sebagai pengingat bahwa keamanan siber adalah proses yang berkelanjutan yang membutuhkan kewaspadaan, kolaborasi, dan komitmen terhadap praktik terbaik. Dengan bekerja sama, kita dapat menciptakan dunia digital yang lebih aman bagi semua orang.