Sıfır tıklama saldırılarında kullanıcı herhangi bir bağlantıya tıklamadan ya da dosya indirmeden cihaz ele geçirilebiliyor. WhatsApp’taki açık, bağlantılı cihaz senkronizasyon mesajlarında yaşanan yetkilendirme sorunu nedeniyle ortaya çıktı. Bu açık, Apple’ın ImageIO çerçevesindeki CVE-2025-43300 ile birleştiğinde casus yazılım yüklenmesine imkan tanıyor. Genellikle gazeteciler, insan hakları savunucuları, avukatlar ve aktivistler gibi yüksek değerli hedefler bu saldırıların öncelikli hedefleri oluyor.
WhatsApp’ın açıklamasına göre, açık özellikle iOS (v2.25.21.73 öncesi) ve macOS (v2.25.21.78 öncesi) sürümlerini etkiliyor. Amnesty International Güvenlik Laboratuvarı ise Android kullanıcılarının da risk altında olabileceğine dikkat çekti. Açığın dünya genelinde 200’den az kullanıcıyı etkilediği belirtilse de, kesin sayı paylaşılmadı.
WhatsApp, resmi güvenlik danışma sayfasında açığın kapatıldığını ve kullanıcıların uygulamayı en son sürüme güncellemeleri gerektiğini duyurdu. Apple da ilgili açık için iOS, iPadOS ve macOS güncellemelerini yayımladı. Şirket, etkilenen kullanıcıları yalnızca uygulama içi bildirimlerle bilgilendireceğini açıkladı.
Siber güvenlik uzmanları, kullanıcıların şu adımları uygulaması gerektiğini belirtiyor: