וואטסאפ הודיעה בסוף השבוע כי תיקנה חולשת אבטחה חמורה שאיפשרה לתוקפים לחדור למכשירי אפל של משתמשים ולגנוב מהם מידע אישי, כולל הודעות פרטיות - וכל זאת מבלי שהקורבנות נדרשו ללחוץ על קישור או לבצע פעולה כלשהי. מדובר בפרצה קריטית באפליקציה (CVE-2025-55177), שתוקנה יחד עם באג נוסף במערכות ההפעלה של אפל (CVE-2025-43300). אפל עצמה הגדירה את המתקפה כמתוחכמת במיוחד, וכעת מתברר כי עשרות משתמשי וואטסאפ ברחבי העולם היו יעד למבצע ריגול מתוחכם.
באמנסטי אינטרנשיונל תיארו את ההתקפה כקמפיין ריגול מתקדם שנמשך שלושה חודשים, מאז סוף מאי. מומחי אבטחה מסבירים כי שילוב שתי החולשות אפשר לתוקפים להעביר דרך וואטסאפ קוד זדוני שהעניק להם גישה ישירה למכשירי הקורבנות ולמידע שהכילו. ההודעות שנשלחו לנפגעים מטעם וואטסאפ הזהירו כי ההתקפה הצליחה "לפגוע במכשיר ובנתונים שבו, לרבות הודעות".
מטא אישרה כי איתרה ותיקנה את הפגם כבר לפני מספר שבועות ושלחה פחות מ-200 התראות למשתמשים שנפגעו. עם זאת, החברה לא חשפה מי עומד מאחורי המתקפה או אם ברשותה ראיות שמאפשרות לייחס אותה לגורם ממשלתי או לחברת ריגול פרטית. זהות התוקפים נותרת בשלב זה עלומה.
זו אינה הפעם הראשונה שמשתמשי וואטסאפ הופכים יעד לתוכנות ריגול מתקדמות. רק השנה דיווחה החברה על קמפיין אחר, שבמסגרתו נפרצו מכשיריהם של כ-90 משתמשים - בהם עיתונאים ואנשי חברה אזרחית באיטליה - ואילו ב-2019 נחשפה פריצה רחבת היקף שביצעה קבוצת NSO הישראלית, שבעקבותיה חויבה לשלם לוואטסאפ 167 מיליון דולר.
האירוע הנוכחי ממחיש פעם נוספת כי גם מכשירים מעודכנים, המצוידים בהגנות של חברות ענק כמו אפל ומטא, אינם חסינים בפני מתקפות "אפס יום". מומחי אבטחה מזהירים כי השימוש ההולך וגובר בטכנולוגיות ריגול מתוחכמות מעמיד את פרטיות המשתמשים בסכנה מתמדת, ומדגיש עד כמה הקרב על אבטחת המידע רחוק מלהסתיים.