index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
2025年8月,WhatsApp修复了一个严重的零点击漏洞CVE-2025-55177,与苹果ImageIO框架漏洞CVE-2025-43300组合,形成复杂攻击链。攻击者无需用户交互即可入侵设备,窃取敏感数据。本文解析了攻击链技术细节,包括WhatsApp漏洞、ImageIO漏洞、攻击流程、攻击团伙分析以及防护建议。
🔍 WhatsApp漏洞(CVE-2025-55177):这是一个'链接设备同步消息的授权不足'漏洞,存在于iOS版WhatsApp 2.25.21.73之前版本、iOS版WhatsApp Business 2.25.21.78和Mac版WhatsApp 2.25.21.78中。该漏洞允许未关联用户触发目标设备上任意URL内容的处理,为后续攻击创造条件。
🖼️ 苹果ImageIO框架漏洞(CVE-2025-43300):这是一个越界写入(out-of-bounds write)漏洞,CVSS评分高达8.8。存在于iOS/iPadOS 18.6.2之前版本的RawCamera.bundle中,当解析DNG文件时,系统对TIFF元数据标签SamplesPerPixel与JPEG Lossless SOF3段内component count未做一致性校验。当二者数值不符时,系统按SamplesPerPixel分配缓冲区,而解码器却按component count写入数据,导致堆缓冲区溢出。
🔗 攻击流程:攻击者首先利用WhatsApp的CVE-2025-55177漏洞,通过链接设备同步消息的授权缺陷,向目标设备发送特制消息。特制消息触发WhatsApp处理来自任意URL的内容,这些内容包含精心构造的DNG图像文件。当系统处理这些DNG文件时,触发CVE-2025-43300漏洞,导致堆缓冲区溢出,攻击者获得在目标设备上执行任意代码的能力,进而可能提升权限,获取设备更广泛的访问权限,最终窃取设备上的数据,包括WhatsApp消息内容和其他敏感信息。
原创 威胁情报中心 2025-09-02 10:34 北京
2025年8月,WhatsApp修复了一个严重的零点击漏洞CVE-2025-55177,该漏洞与苹果ImageIO框架的漏洞CVE-2025-43300组合使用,形成了一个复杂的攻击链,攻击者无需用户交互即可入侵设备并窃取敏感数据。
最新漏洞攻击链技术深度解析
漏洞组合与攻击链分析
2025 年 8 月底,WhatsApp 修复了一个严重的零点击漏洞(CVE-2025-55177),该漏洞与苹果 ImageIO 框架的漏洞(CVE-2025-43300)组合使用,形成了一个复杂的攻击链。这次攻击不需要用户任何交互即可入侵设备,窃取包括消息内容在内的敏感数据。从技术角度看,这次攻击链由两个关键漏洞组成:WhatsApp 漏洞(CVE-2025-55177):这是一个"链接设备同步消息的授权不足"漏洞,存在于 iOS 版 WhatsApp 2.25.21.73 之前版本、iOS 版 WhatsApp Business 2.25.21.78 和 Mac 版 WhatsApp 2.25.21.78 中。该漏洞允许未关联用户触发目标设备上任意 URL 内容的处理,为后续攻击创造条件。苹果 ImageIO 框架漏洞(CVE-2025-43300):这是一个越界写入(out-of-bounds write)漏洞,CVSS 评分高达 8.8。更具体地说,该漏洞存在于 iOS/iPadOS 18.6.2 之前版本的 RawCamera.bundle 中,当解析 DNG 文件时,系统对 TIFF 元数据标签 SamplesPerPixel 与 JPEG Lossless SOF3 段内 component count 未做一致性校验。当二者数值不符时,系统按 SamplesPerPixel 分配缓冲区,而解码器却按 component count 写入数据,导致堆缓冲区溢出。攻击流程与技术路径
根据已掌握的信息,这次零点击攻击的完整技术路径如下:初始入口点:攻击者首先利用 WhatsApp 的 CVE-2025-55177 漏洞,通过链接设备同步消息的授权缺陷,向目标设备发送特制消息。触发漏洞链:特制消息触发 WhatsApp 处理来自任意 URL 的内容,这些内容包含精心构造的 DNG 图像文件。利用 ImageIO 漏洞:当系统处理这些 DNG 文件时,触发 CVE-2025-43300 漏洞。由于 TIFF 元数据标签与 JPEG 组件计数不一致,导致堆缓冲区溢出。代码执行与权限提升:通过内存损坏,攻击者获得在目标设备上执行任意代码的能力,进而可能提升权限,获取设备更广泛的访问权限。数据窃取:成功入侵后,攻击者能够窃取设备上的数据,包括 WhatsApp 消息内容和其他敏感信息。这种攻击方式特别危险,因为整个过程完全不需要用户交互,受害者甚至不会察觉到自己的设备已被入侵。TechCrunch 的 Donncha Ó Cearbhaill 将此描述为"高级间谍软件活动",活跃时间约为 90 天,可追溯到 2025 年 5 月底。WhatsApp 安全漏洞时间线(2019-2025)日期
CVE 编号漏洞类型
攻击方式
已知攻击者
影响范围
2019 年 5 月CVE-2019-3568VoIP 缓冲区溢出漏洞零点击攻击
NSO Group约 1400 名用户受影响
2019 年 10 月CVE-2019-11932GIF 文件处理漏洞需用户交互
未知攻击者
未知
2019 年 11 月CVE-2019-11931MP4 文件处理漏洞需用户交互
未知攻击者
未知
2020 年 12 月CVE-2020-1910图像过滤器漏洞
需用户交互
未知攻击者
未知
2021 年 3 月CVE-2021-24027Chrome content provider 漏洞需用户交互
未知攻击者
未知
2022 年 9 月CVE-2022-36934整数溢出漏洞
零点击攻击
未知攻击者
未知
2022 年 9 月CVE-2022-27492整数下溢漏洞
需用户交互
未知攻击者
未知
2025 年 1 月CVE-2025-30259PDF 内容处理漏洞零点击攻击
Paragon Solutions约 90 名用户受影响
2025 年 4 月CVE-2025-30401Windows 客户端欺骗漏洞需用户交互
未知攻击者
未知
2025 年 8 月CVE-2025-55177链接设备同步授权不足漏洞
零点击攻击
未知(疑似商业间谍软件供应商)
不到 200 名用户受影响
上表格展示了 WhatsApp 历史上的主要安全漏洞时间线,我们可以看到零点击漏洞(红色标记)在近年来呈现增长趋势,特别是 2025 年已发现两起重大零点击漏洞事件。攻击团伙深度分析
NSO Group 详细剖析
NSO Group 是一家成立于 2010 年的以色列网络情报公司,以其开发的 Pegasus 间谍软件而闻名。该公司由前以色列军事情报人员组成,专注于开发并向政府和安全机构销售监控软件和黑客工具。技术能力与攻击手法NSO Group 的 Pegasus 间谍软件是业内最先进的监控工具之一,具有以下技术特点:零点击攻击能力:2019 年,NSO Group 利用 WhatsApp VoIP 栈中的缓冲区溢出漏洞(CVE-2019-3568)实施了一次大规模零点击攻击,影响了约 1400 名用户。攻击者通过向目标手机号码发送特制的 SRTCP 数据包实现远程代码执行,即使用户没有接听电话也能感染设备。多平台攻击链:Pegasus 能够利用 iOS、Android 和其他平台的多个零日漏洞形成攻击链。例如,2016 年 8 月,Pegasus 利用 3 个当时未被发现的 iOS 系统"0day"漏洞实施间谍活动。全面数据获取:一旦安装,Pegasus 可以抓取大量通信数据、WhatsApp 通话和消息记录、以及来自 Gmail、Facebook 和 Twitter 等有价值的数据。此外,它还能控制设备的摄像头和麦克风,记录键盘输入,捕获截图。自毁功能:Pegasus 具有自毁功能,当感觉自己可能被发现时会立即自行删除,这使得研究人员很难发现和分析该软件。法律与商业现状NSO Group 近年来面临严重的法律和商业挑战:法律诉讼:2019 年,WhatsApp 对 NSO Group 提起诉讼,指控其利用 WhatsApp 服务漏洞帮助客户入侵了至少 1400 名用户的手机。2025 年 5 月,美国法院判决 NSO Group 向 WhatsApp 支付约 1.67 亿美元赔偿。源代码披露:2024 年 3 月,美国法庭命令 NSO Group 将 Pegasus 和其它间谍软件产品的代码交给 Meta,这是一次前所未有的裁决。国际制裁:2021 年,美国将 NSO 集团列入实体名单,禁止美国公司向 NSO 供货。财务困境:根据法庭证词,NSO Group 在 2023 年亏损 900 万美元,2024 年亏损 1200 万美元。截至 2024 年底,公司银行账户余额仅为 510 万美元,每月花费约 1000 万美元支付员工工资等开支,财务状况十分拮据。Paragon Solutions 详细剖析
Paragon Solutions 是一家成立于 2019 年的以色列公司,由以色列前总理 Ehud Barak 和以色列 8200 部队前指挥官 Ehud Schneorson 创立。该公司开发了名为 Graphite 的间谍软件,能够绕过加密应用程序的保护,从云备份中提取数据。技术能力与攻击手法Paragon 的 Graphite 间谍软件具有以下技术特点:零点击攻击能力:2025 年 1 月,Paragon 利用 WhatsApp 的零点击漏洞(CVE-2025-30259)进行了针对性攻击。攻击者通过将目标用户添加到 WhatsApp 群组并发送 PDF 文件来实施攻击,受害者的设备在处理 PDF 时自动加载了 Graphite 间谍软件植入程序。沙盒突破:Graphite 植入程序不仅能够访问 WhatsApp,还能突破 Android 沙盒,影响其他应用程序。加密应用绕过:Graphite 能够访问即使已经加密的应用程序,如 WhatsApp 和 Signal,以及从云备份中提取数据。专用指纹与基础设施:研究人员开发了多个指纹,帮助发现与 Paragon 基础设施相关的 150 个数字证书及多个 IP 地址,表明其背后有专门的指挥控制基础设施。商业与政府关系与 NSO Group 不同,Paragon Solutions 与美国有更紧密的商业联系:美国支持:Paragon 在开发 Graphite 前就征求了美国的支持,聘请了总部位于华盛顿的咨询公司 WestExec Advisors,该公司聘请了前奥巴马白宫工作人员。美国风投支持:Paragon 成功从美国风险投资基金 Battery Ventures 和 Red Dot 筹集资金。美国政府客户:美国缉毒局(DEA)是 Paragon 品牌 Graphite 产品的最大买家之一。2024 年 9 月 27 日,美国移民和海关执法局(ICE)与 Paragon 达成了 200 万美元的合同。收购情况:2024 年 12 月,Paragon 被美国私募股权公司 AE Industrial Partners 以约 4.5-5 亿美元收购。攻击团伙对比分析
已确认的攻击中,NSO Group 和 Paragon Solutions 是主要的商业间谍软件供应商。两家公司在多个方面存在显著差异:商业模式与客户群: NSO Group:客户包括沙特阿拉伯、墨西哥等国家,2018-2020 年间,沙特阿拉伯支付 5500 万美元,墨西哥支付 6100 万美元。 Paragon Solutions:更倾向于与"民主国家"合作,主要客户包括美国政府机构,如 DEA 和 ICE。法律地位: NSO Group:被美国列入黑名单,面临多项法律诉讼,财务状况恶化。 Paragon Solutions:与美国政府关系密切,获得美国风投支持,被美国公司收购。技术特点: NSO Group 的 Pegasus:更专注于设备完全控制,包括实时监控和历史数据获取。 Paragon 的 Graphite:特别强调从云备份中提取数据的能力,以及绕过加密应用的技术。攻击规模: NSO Group:2019 年 WhatsApp 攻击影响约 1400 名用户。 Paragon Solutions:2025 年 1 月的攻击影响约 90 名用户。WhatsApp 历史安全漏洞演变分析
漏洞类型与攻击手法演变
WhatsApp 漏洞攻击类型趋势(2019-2025)年份
零点击攻击占比
需用户交互占比
2019 年33.33%66.67%2020 年0%100%2021 年0%100%2022 年50%50%2025 年66.67%33.33%从 2019 年至 2025 年,WhatsApp 面临的安全漏洞呈现以下演变趋势:攻击向量多样化:攻击向量从早期的 VoIP 协议栈(CVE-2019-3568),到媒体文件处理(MP4、GIF、图像过滤器),再到设备同步机制(CVE-2025-55177),显示出攻击者不断寻找新的入口点。攻击链复杂化:最新的攻击通常结合多个漏洞形成完整攻击链,如 2025 年 8 月的攻击同时利用 WhatsApp 和苹果系统漏洞。针对性增强:从大规模攻击转向高度针对性的攻击,主要瞄准记者、活动家和政治人物等特定群体。主要漏洞技术细节分析
VoIP 缓冲区溢出漏洞(CVE-2019-3568)这是 NSO Group 在 2019 年 5 月利用的漏洞,技术细节如下:漏洞:WhatsApp VOIP 栈中的缓冲区溢出漏洞。攻击方式:攻击者通过向目标手机号码发送特制的 SRTCP 包实现远程执行代码。整个攻击过程中不需要用户交互,受害者并不需要接听电话,呼叫记录通常也不会显示在日志里。影响范围:影响约 1400 名用户,包括记者、人权活动家、政治异见人士和政府官员。MP4 文件处理漏洞(CVE-2019-11931)漏洞:基于堆栈的缓冲区溢出,位于 WhatsApp 解析 MP4 文件的元数据流的方式。攻击方式:通过发送恶意构造的 MP4 文件触发漏洞,导致拒绝服务攻击或远程命令执行攻击。影响范围:Android 版本<2.19.274,iOS 版本<2.19.100,EnterpriseClient 版本<2.25.3,WindowsPhone 版本≤2.18.368,Android 商业版本<2.19.104,iOS 商业版本<2.19.100。PDF 内容处理漏洞这是 Paragon Solutions 在 2025 年 1 月利用的漏洞:漏洞:WhatsApp 云服务未能有效阻止某些精心构造的 PDF 内容。攻击方式:攻击者通过将目标用户添加到 WhatsApp 群组并发送 PDF 文件来实施攻击,受害者的设备在处理 PDF 时自动加载了 Graphite 间谍软件植入程序。影响范围:约 90 名用户受影响,主要是记者和公民社会成员,分布在 20 多个国家 。链接设备同步授权不足漏洞(CVE-2025-55177)这是 2025 年 8 月最新发现的漏洞:漏洞:链接设备同步消息的授权不足问题,存在于 iOS 版 WhatsApp 2.25.21.73 之前版本、iOS 版 WhatsApp Business 2.25.21.78 和 Mac 版 WhatsApp 2.25.21.78 中。攻击方式:攻击者利用此漏洞与苹果 ImageIO 框架漏洞(CVE-2025-43300)结合,形成完整攻击链,不需要用户任何交互即可入侵设备。影响范围:不到 200 名用户受影响。WhatsApp 漏洞已知受影响用户规模CVE 编号日期
受影响用户数
CVE-2019-35682019 年 5 月约 1400 名用户
CVE-2025-302592025 年 1 月约 90 名用户
CVE-2025-551772025 年 8 月不到 200 名用户
上图比较了三次主要零点击攻击事件的受影响用户规模。虽然 2019 年 NSO Group 的攻击影响了最多用户(约 1400 名),但近期攻击的针对性和技术复杂度明显提高。防护建议与安全对策
针对 WhatsApp 用户,特别是可能成为高价值目标的用户(如记者、活动家、政府官员等),建议采取以下防护措施:基础防护措施
及时更新应用:确保 WhatsApp 和操作系统始终保持最新版本,以修补已知漏洞。特别是对于 iOS 用户,应立即更新至 iOS 18.6.2 或更高版本,iPadOS 用户更新至 iPadOS 18.6.2 或 iPadOS 17.7.10,Mac 用户更新至 macOS Sequoia 15.6.1、Sonoma 14.7.8 或 Ventura 13.7.8。
启用双重验证:在 WhatsApp 中启用双重验证功能,增加账户安全性。
定期备份聊天记录:定期备份重要的聊天记录,但不要在云端存储敏感信息。
警惕可疑消息:即使来自熟悉的联系人,也要警惕不寻常的消息或文件,特别是 PDF、GIF、MP4 等媒体文件。
开启 Iphone 锁定模式:该模式旨在为高风险用户(如记者、活动人士或政府官员)提供额外的保护,以防御高度针对性的零日漏洞攻击,在 iOS 16系统中引入了一个名为“锁定模式”(Lockdown Mode)的安全功能,用户可以通过设置 > 隐私与安全性 > 锁定模式手动开启,需要注意的是开启该功能后虽然会极大提高 Iphone 设备的抗 0day 攻击能力,但是相应的很多智能设备功能会被限制,用户需在安全性和易用性上做出取舍。
高级防护策略
设备隔离:对于处理高度敏感信息的用户,考虑使用专用设备进行通信,与日常使用的设备分开。定期重置设备:对于可能成为目标的高风险用户,考虑定期执行设备出厂重置,以清除可能的恶意软件。WhatsApp 已向受影响用户建议执行完整的设备恢复出厂设置。多平台通信策略:不要依赖单一的通讯应用,可以根据敏感程度使用不同的工具,分散风险。安全审计:对于组织用户,定期进行安全审计,检查设备和应用程序的异常行为。网络隔离:在处理特别敏感的信息时,考虑使用网络隔离技术,如断开设备的互联网连接。组织级防护建议
安全意识培训:提高员工对高级网络威胁的认识,特别是零点击攻击的危险性。建立安全通信协议:为组织内部制定安全通信协议,明确哪些信息可以通过 WhatsApp 等即时通讯工具传输,哪些需要更安全的渠道。定期安全评估:定期评估组织使用的通信工具的安全性,并根据最新威胁情报调整安全策略。考虑替代方案:对于处理高度敏感信息的组织,考虑使用经过安全审计的替代通信工具,如 Signal 或经过加固的企业级通信解决方案。结论与展望
2025 年 9 月 WhatsApp 零点击漏洞攻击事件再次凸显了即时通讯应用面临的高级安全威胁。这类攻击通常由国家级支持的攻击者或商业间谍软件供应商(如 NSO Group 和 Paragon Solutions)实施,主要针对特定高价值目标。从技术角度看,这些攻击正在经历以下演变:攻击复杂度提升:从单一漏洞利用到多漏洞攻击链,技术复杂度明显提高。零交互趋势增强:零点击攻击比例从 2019 年的 33.33%上升到 2025 年的 66.67%,表明攻击者正在减少对用户交互的依赖。针对性攻击增加:从大规模攻击(如 2019 年影响 1400 名用户)到高度针对性攻击(如 2025 年影响不到 200 名用户),攻击更加精准。攻击向量多样化:从 VoIP 协议栈到媒体文件处理,再到设备同步机制,攻击向量不断扩展。尽管 Meta/WhatsApp 在发现和修复漏洞方面做出了积极努力,并通过法律手段追究攻击者责任,但商业间谍软件行业的持续发展表明,类似的高级攻击在未来仍将继续。因此,高风险用户需要采取全面的安全措施,而不仅仅依赖于应用程序自身的安全机制。最后,这些事件也引发了关于商业间谍软件监管、数字隐私保护以及科技公司责任的更广泛讨论,这些问题需要全球协作才能有效解决。随着攻击技术的不断演进,我们预计未来将看到更多针对即时通讯应用的高级攻击,特别是那些能够绕过端到端加密的攻击方法。点击阅读原文至ALPHA 8.3即刻助力威胁研判阅读原文
跳转微信打开
