I de siste månedene dusinvis av WhatsApp-kontoer har blitt kompromittert i Italia gjennom en lumsk og urovekkende teknikk, dokumentert av Antonio De BortoliIT-tekniker spesialisert i dataetterforskning, hvis analyser utfyller teamets analyser Rettsmedisinsk og eksperten Paolo Da Checcokonvergerer på et bekymringsfullt bilde. Et klart angrep «null klikk»: en type inntrenging som påvirker offerets enhet uten at offeret foretar seg noen mistenkelig handling. Ingen phishing, ingen skadelig programvare, ingen sosial utvikling. Kontoen blir i det stille kompromittert, og offeret finner nesten alltid ut av det når venner og bekjente begynner å svare på forespørsler om penger som de aldri har sendt. Den underliggende tekniske mekanismen er delvis avklart av eksperter, men inngangspunktet for angrepet er til dags dato helt ukjent. La oss uansett se hvordan angrepet fungerer, hvem det rammer og fremfor alt hvilke tiltak som anbefales av eksperter for å forsvare seg.
Når angrepet ikke etterlater spor
Vi er vant til å tro at et nettangrep alltid krever en feil fra offerets side: et klikk på en ondsinnet lenke, et raskt nedlastet vedlegg, en kode som er delt ved en feiltakelse. De nylige undersøkelsene utført av teamet til Rettsmedisinsk – rettsmedisinsk IT-studio regissert av Paolo Dal Checco – og av den rettsmedisinske IT-teknikeren Antonio De Bortoli i stedet demonstrerer de eksistensen av definerte angrep «null klikk»i stand til å krenke en profil uten at offeret foretar seg noe.
Det hele startet med en rekke rapporter som kom i løpet av samme dag: brukere som oppdaget, fra svarmeldingene fra kontaktene deres, at de tilsynelatende hadde bedt om bankoverføringer. Det mest foruroligende er det i avsnittet «Tilkoblede enheter» av WhatsApp viste ingen ekstern tilgang. Likevel var det tydelig at noen skrev i navnet deres.
Hvem er i trådkorset: iPhone med iOS 16
Ved å sammenligne de forskjellige tilfellene identifiserte Forenser-teamet et mønster som er felles for alle: de berørte enhetene var nesten utelukkende iPhones – ulike modeller fra 8 til 14, inkludert X, XR, XS, 11, SE, 12 og 13 varianter – som en foreldet versjon av operativsystemet ble installert på: iOS 16.
Forskningen førte til identifisering av to sårbarheter: CVE-2025-43300relatert til måten iOS 16 behandler bilder gjennom et systembibliotek, og CVE-2025-55177en feil i WhatsApp for iOS og macOS som kan tillate analysering av innhold fra vilkårlige URL-er via feilautoriserte synkroniseringsmeldinger. Kjeden av to feil muliggjorde et null-klikk-angrep der offeret ikke trenger å gjøre noe for å bli kompromittert.
Hvordan spøkelsesøkten fungerer
Under normale forhold lar WhatsApp deg Par opptil fire sekundære enheter med en primær smarttelefon. I disse tilfellene skjer imidlertid ikke inntrengningen gjennom en ekstra synlig enhet: angriperen klarer det starte en andre parallell primærøkt.
Ved å analysere de rettsmedisinske loggene til de berørte enhetene, kom en fram unormal og kontinuerlig sekvens av «resynkronisering»-hendelsersom om applikasjonen hele tiden reforhandlet økten med WhatsApp-serverne. Dette er ikke normalt: det skjer når noen andre prøver å holde økten aktiv på samme konto parallelt.
Resultatet er ett løpstilstanddet vil si en kontinuerlig konflikt der to prosesser konkurrerer om samme ressurs. WhatsApp-serveren gjenkjenner to gyldige tilkoblinger og holder bare én aktiv om gangen, og bytter kontokontroll mellom offerets telefon og angriperens telefon med noen sekunders mellomrom. Hvis en melding sendes i vinduet der angriperen har kontroll, vises ikke chatten på offerets telefon: den forblir helt usynlig.
Utenlandsk VPN og automatiske meldinger
Undersøkelser bekreftet at minst én av de kompromitterte kontoene allerede hadde totrinnsverifisering aktiv før inntrenging: dette viser at dette beskyttelsestiltaket, selv om det er nyttig, det er ikke tilstrekkelig til å motvirke alle angrepsscenarier.
Fra analysen av nettverkstrafikk, denved å bruke en VPN i Hong Kong. En annen avslørende detalj: svarene som ble sendt til kontakter ble ikke skrevet av et menneske, men administrert av en algoritme med forhåndsdefinerte svar. Systemet klarte faktisk ikke å opprettholde den logiske tråden i samtalen så snart samtalepartneren gikk av de forhåndsetablerte sporene.
Slik forstår du om kontoen din er kompromittert
Det er fortsatt komplisert å identifisere den nøyaktige inngangsvektoren, siden det ikke ble funnet spor av ondsinnede filer eller åpenbare anomalier i systemloggene på telefonene som ble undersøkt. Imidlertid eksisterer de tre empiriske tester som kan gi nyttig informasjon.
- «Tilkoblede enheter»-delen er tom. Hvis listen er helt ren, men kontakter mottar uvanlig kommunikasjon på dine vegne, kan en parallell økt være aktiv.
- Gjentatt feil på WhatsApp Web. Hvis det oppstår en systematisk tilkoblingsfeil når du prøver å koble til WhatsApp Web, selv om nettverket er stabilt, er det sannsynlig at strømmen er omstridt på serversiden.
- Flymodustesten. Ved å aktivere flymodus, hvis en kontakt ser den dobbelte mottatt haken vises på en melding sendt i det øyeblikket, betyr det at noen andre mottar den i stedet for deg.
Hva du skal gjøre for å beskytte deg selv (og stoppe angrepet)
La oss gå videre, nå, til tiltak for å beskytte deg selv. Det mest effektive mottiltaket er absolutt det av oppdater iOStatt i betraktning det versjoner før 16.7.12 er sårbare. Forenser anbefaler også aktivere isolasjonsmodus av iOS (i Innstillinger > Personvern og sikkerhet > Isolasjonsmodus) for å redusere angrepsoverflaten. Mens oppdater eller installer WhatsApp på nytt med ny autentisering er effektivt for å avbryte enhver uautorisert økt.
