駭客藉「零點擊攻擊」突破WhatsApp防護 蘋果裝置遭植入惡意軟體

記者孫敬／編譯

通訊軟體龍頭WhatsApp於29日發出安全公告，表示已修補iOS和Mac版本中的安全漏洞（官方編號CVE-2025-55177），駭客正是利用此漏洞，並結合蘋果系統中另一個已修補的漏洞（CVE-2025-43300），對特定目標用戶發動了精密駭客攻擊。

延伸閱讀：Windows 11更新成SSD殺手？微軟與群聯合作測試仍無法重現當機問題

間諜軟體攻擊再起，WhatsApp曾為此控告NSO集團

國際特赦組織安全實驗室（Amnesty International’s Security Lab）負責人Donncha Ó Cearbhaill，在社群平台X將這次攻擊描述為一場「零點擊」（Zero click）的高階間諜軟體行動。這意味著駭客無需受害者進行任何互動（例如點擊惡意連結），就能透過WhatsApp向Apple裝置植入惡意程式，進而竊取資料，甚至包含訊息內容。

WhatsApp母公司Meta的發言人證實，公司已在數週前發現並修補該漏洞，並向不到200名受影響的用戶發出警告，這場攻擊行動持續了至少90天。不過這並非WhatsApp用戶首次成為國家級間諜軟體的攻擊目標，這類惡意軟體通常利用供應商尚未知曉的零日（Zero-day）漏洞，入侵已完成所有修補的裝置。

早在2019年，間諜軟體製造商NSO集團就曾利用一項漏洞，入侵全球逾1,400名WhatsApp用戶的裝置，並植入著名的「飛馬」（Pegasus）間諜軟體，WhatsApp當時為此向美國法院提告，最終獲判1.67億美元賠償金。

此外，今年稍早，WhatsApp也曾阻斷一起針對義大利約90名記者與公民社會成員的間諜軟體行動。雖然義大利政府否認涉案，但該行動所使用的間諜軟體製造商Paragon，已因其客戶未能調查濫用行為，而切斷了與義大利的合作。

資料來源：Techcrunch