WhatsApp 0-Day wird bei Angriffen auf gezielte iOS- und macOS-Benutzer ausgenutzt
WhatsApp hat eine kritische Zero-Day-Sicherheitslücke (CVE-2025-55177) behoben, die Zero-Click-Spyware-Angriffe auf iOS- und Mac-Nutzer ermöglichte. Die Schwachstelle wurde zum Datendiebstahl ausgenutzt. Aktualisieren Sie Ihre App jetzt, um geschützt zu bleiben.
WhatsApp hat bekannt gegeben, dass es eine schwerwiegende Sicherheitslücke in seinen Apps für Apple-Geräte geschlossen hat, die dazu genutzt wurde, heimlich die iPhones und Macs „bestimmter Zielbenutzer“ zu kompromittieren.
Der Fehler mit der Bezeichnung CVE-2025-55177 wurde vom internen Sicherheitsteam von WhatsApp entdeckt. Das Unternehmen erklärte in seiner offiziellen Sicherheitswarnung , dass die Schwachstelle Teil einer ausgeklügelten Angriffskette sei, die zwei separate Schwachstellen miteinander verband. Es handelt sich um eine Zero-Click-Angriffsmethode, bei der das Opfer weder auf einen Link klicken noch eine Datei öffnen oder eine andere Aktion ausführen muss, um sein Gerät zu kompromittieren.
Der Fehler selbst sei auf eine „unvollständige Autorisierung von Synchronisierungsnachrichten verknüpfter Geräte“ zurückzuführen, heißt es in der Warnung. Dadurch konnte ein nicht beteiligter Benutzer das Gerät eines Ziels zwingen, Inhalte von einer bösartigen Webadresse zu verarbeiten.
In Kombination mit einer separaten Apple-Sicherheitslücke ( CVE-2025-43300 , die Apple bereits behoben hat) im Umgang mit Bildern könnte diese Angriffskette dazu genutzt werden, ein Schadprogramm zu installieren und Daten ohne Benutzerinteraktion zu stehlen. Bemerkenswert ist, dass die Sicherheitslücke WhatsApp für iOS vor Version 2.25.21.73, WhatsApp Business für iOS vor Version 2.25.21.78 und WhatsApp für Mac vor Version 2.25.21.78 betrifft. WhatsApp bestätigte, dass es Benachrichtigungen an „weniger als 200“ vermutlich betroffene Nutzer gesendet hat.
Laut einer Erklärung der National Cybersecurity Agency (NCSA) in Katar liegt die Schwere dieses Fehlers in seinem Mechanismus zur Verarbeitung von Synchronisierungsnachrichten zwischen verbundenen Geräten, der es einem Hacker ermöglichen könnte, zunächst auf das Gerät eines Opfers zuzugreifen.
#Meta , der Betreiber der bekannten Chat-App #WhatsApp , hat eine kritische Sicherheitslücke in der App bekannt gegeben. Die Schwachstelle betrifft den Mechanismus zur Verarbeitung von Synchronisierungsnachrichten zwischen verbundenen Geräten. Angreifer können dadurch eine manipulierte … pic.twitter.com/dYIwdij0gP
– Qatar Tribune (@Qatar_Tribune) 30. August 2025
Das Sicherheitslabor von Amnesty International unter der Leitung von Donncha Ó Cearbhaill beschrieb die beiden Bugs als eine „fortgeschrittene Spyware-Kampagne“, die in den letzten 90 Tagen bzw. seit Ende Mai auf Nutzer abzielte und in der Lage war, Daten, darunter auch Nachrichten, von den Geräten der Nutzer zu stehlen. In einem Beitrag auf X gab Cearbhaill außerdem wichtige Tipps und riet dazu, die Geräte zu aktualisieren oder auf die Werkseinstellungen zurückzusetzen.
Obwohl noch unklar ist, wer hinter diesem jüngsten Angriff steckt, ist es nicht das erste Mal, dass WhatsApp-Nutzer Ziel von hochentwickelter Spyware wurden. 2019 verklagte die Messaging-App den Spyware-Hersteller NSO Group wegen einer Hackerkampagne, bei der mehr als 1.400 Nutzer mit der Spyware Pegasus kompromittiert wurden. Ein US-Gericht verurteilte das Unternehmen später zur Zahlung von 167 Millionen Dollar Schadenersatz an WhatsApp .
Dieser neue Vorfall verdeutlicht die anhaltende Bedrohung durch staatliche Spyware und Malware. Er unterstreicht zudem, warum Nutzer ihre Apps und Betriebssysteme stets auf dem neuesten Stand halten sollten, da diese Updates oft wichtige Sicherheitspatches zum Schutz vor derartigen ausgeklügelten Angriffen enthalten.
HackRead
