iOS、WhatsApp遭遇串連攻擊「用戶資料遭竊」 Apple、Meta急修漏洞

周刊王CTWANT |廖梓翔

2025年8月30日週六上午11:30

近期曝光一個使用WhatsApp、iOS漏洞串連起來的攻擊手法。（圖／達志／美聯社）

蘋果日前為iOS與macOS釋出安全更新，修補一個被形容為「極度複雜、專門針對特定目標」的高階攻擊漏洞。隨著技術細節陸續曝光，資安社群發現，這次行動並非單一弱點遭入侵，而是透過WhatsApp與Apple作業系統的兩個漏洞串聯，讓惡意訊息得以無需互動便滲入受害裝置，進一步竊取訊息與資料。專家警告，隨著漏洞編號已公開，尚未更新的系統將成為下一波攻擊焦點。

根據《9to5Mac》、《TechCrunch》報導，WhatsApp的CVE-2025-55177與蘋果修補的CVE-2025-43300共同構成了這場攻擊鏈。Meta在安全公告中承認，惡意訊息能直接抵達用戶終端，再由系統層面的缺陷接手，完成入侵與資料外洩。蘋果則在公告裡形容這是鎖定特定個體的「高階滲透手法」，並呼籲所有使用者立刻安裝更新。

國際特赦組織安全實驗室主管凱爾巴爾（Donncha Ó Cearbhaill）解釋，這波行動自5月底展開，持續約90天，波及的WhatsApp用戶達數十人。他將此定義為典型的「零點擊」攻擊，也就是受害者「不需點擊或互動」，惡意程式就能被植入。

Meta目前已向少於200名疑似受影響的使用者發出通知，警示內容直言，他們可能收到透過WhatsApp傳遞的惡意訊息，並同時遭系統漏洞利用。公司建議受害者最穩妥的做法是進行完整出廠重設，並強調保持WhatsApp與作業系統版本最新才能降低風險。

Meta發言人富蘭克林（Margarita Franklin）表示，CVE-2025-55177已於「幾週前」完成修補，但至今尚無法確認背後操作者的身分與完整受害規模。

報導中也提到，這並非WhatsApp首次被利用為政府級間諜軟體的載具。美國法院5月時判決NSO集團（NSO Group）因2019年大規模入侵事件須向WhatsApp賠償1.67億美元；當時逾1400人遭植入Pegasus間諜程式。更早之前，WhatsApp也曾攔截一場涉及義大利社會人士的監控行動，外界質疑與Paragon工具有關。

目前蘋果與Meta均已完成修補，但資安專家提醒，一旦漏洞技術細節公開，未更新的裝置將迅速成為掃蕩式攻擊目標。就算不是知名人物，用戶仍應及時安裝最新更新，必要時評估是否進行出廠重設，才能在這場跨平台的資安危機中降低風險。

原始連結

其他人也在看