Pada hari Jumat, WhatsApp mengumumkan bahwa mereka telah menambal kerentanan perangkat lunak yang dieksploitasi oleh peretas tak dikenal untuk menargetkan pengguna spesifik produk Apple dan membajak mereka dengan perangkat lunak mata-mata.
WhatsApp, yang dimiliki oleh Meta, menyatakan dalam sebuah advisory bahwa bug yang sebelumnya tidak dikenal ini “mungkin telah dieksploitasi dalam serangan canggih terhadap pengguna yang ditargetkan secara spesifik.” Kerentanan ini secara resmi dinamai CVE-2025-55177.
TechCrunch menyatakan bahwa minggu ini, WhatsApp telah memperbaiki bug tersebut, sementara minggu lalu, Apple memperbaiki bug lain yang dikenal sebagai CVE-2025-43300. Bersama-sama, kerentanan-kerentanan ini tampaknya menjadi titik lemah yang memungkinkan serangan perangkat lunak mata-mata berbahaya yang menargetkan pengguna Apple tertentu, dengan maksud mencuri data dari perangkat mereka, tulis publikasi tersebut.
Apple mendeskripsikan bug mereka sebagai berikut: “Memproses file gambar berbahaya dapat mengakibatkan korupsi memori. Apple menyadari adanya laporan bahwa masalah ini mungkin telah dieksploitasi dalam serangan yang sangat canggih terhadap individu-individu yang ditargetkan secara spesifik.” Gizmodo menghubungi Apple dan WhatsApp untuk mendapatkan informasi lebih lanjut.
WhatsApp menyampaikan kepada TechCrunch bahwa mereka telah memberi notifikasi kepada “kurang dari 200 pengguna” bahwa mereka mungkin telah terdampak oleh kampanye ini. Donncha Ó Cearbhaill, kepala Amnesty International’s Security Lab, mengatakan bahwa notifikasi-notifikasi tersebut telah dikirimkan dalam 90 hari terakhir. “Tim kami di Amnesty International’s Security Lab sedang aktif menyelidiki kasus-kasus dengan sejumlah individu yang ditargetkan dalam kampanye ini,” kata Cearbhaill di X. “Kami tersedia untuk mendukung anggota masyarakat sipil yang telah menerima notifikasi WhatsApp.”
Serangan zero-click telah menjadi semakin umum dan menakutkan karena, seperti yang disarankan namanya, serangan ini tidak memerlukan phishing aktif untuk menembus ke dalam konten sistem operasi seluler seseorang. Seringkali, yang perlu dilakukan pelaku jahat hanyalah mengirimkan file berbahaya (seringkali berupa gambar), yang dapat mengambil alih telepon dengan sendirinya. Dalam beberapa tahun terakhir, perangkat lunak berbahaya yang mampu melakukan serangan zero-click telah ditargetkan kepada jurnalis, aktivis, dan pejabat pemerintah—sebagian besarnya berasal dari perusahaan-perusahaan yang berbasis di Israel.