Popüler mesajlaşma uygulaması WhatsApp’ta tespit edilen kritik bir güvenlik açığı, milyonlarca kullanıcıyı risk altında bıraktı. CVE-2025-55177 koduyla kayda geçen açık, özellikle iPhone cihazlarını hedef alan 'sıfır tıklama' saldırılarına zemin hazırladı. Kullanıcıların hiçbir işlem yapmasına gerek kalmadan cihazların ele geçirilebildiği bu saldırılar, son üç ayda bazı kişilere uygulama içi uyarılarla bildirildi. WhatsApp, açığın kapatıldığını duyursa da, kullanıcıların uygulamayı ve işletim sistemlerini acilen güncellemeleri gerektiği vurgulandı.

Sıfır tıklama saldırılarında kullanıcı herhangi bir bağlantıya tıklamadan ya da dosya indirmeden cihaz ele geçirilebiliyor. WhatsApp’taki açık, bağlantılı cihaz senkronizasyon mesajlarında yaşanan yetkilendirme sorunu nedeniyle ortaya çıktı. Bu açık, Apple’ın ImageIO çerçevesindeki CVE-2025-43300 ile birleştiğinde casus yazılım yüklenmesine imkan tanıyor. Genellikle gazeteciler, insan hakları savunucuları, avukatlar ve aktivistler gibi yüksek değerli hedefler bu saldırıların öncelikli hedefleri oluyor.

WhatsApp’ın açıklamasına göre, açık özellikle iOS (v2.25.21.73 öncesi) ve macOS (v2.25.21.78 öncesi) sürümlerini etkiliyor. Amnesty International Güvenlik Laboratuvarı ise Android kullanıcılarının da risk altında olabileceğine dikkat çekti. Açığın dünya genelinde 200’den az kullanıcıyı etkilediği belirtilse de, kesin sayı paylaşılmadı.

WhatsApp, resmi güvenlik danışma sayfasında açığın kapatıldığını ve kullanıcıların uygulamayı en son sürüme güncellemeleri gerektiğini duyurdu. Apple da ilgili açık için iOS, iPadOS ve macOS güncellemelerini yayımladı. Şirket, etkilenen kullanıcıları yalnızca uygulama içi bildirimlerle bilgilendireceğini açıkladı.

Siber güvenlik uzmanları, kullanıcıların şu adımları uygulaması gerektiğini belirtiyor:

WhatsApp ve WhatsApp Business uygulamalarını en güncel sürüme yükseltin.

iOS, iPadOS ve macOS işletim sistemlerinizi güncel tutun.

Uygulama içi uyarı aldıysanız cihazınızı fabrika ayarlarına döndürün.

İki faktörlü kimlik doğrulamayı etkinleştirin.

Siber güvenlik uzmanı Adam Boynton, bu tür açıkların yalnızca veri hırsızlığı için değil, casus yazılım ve fidye saldırıları için de kullanılabileceğini belirterek, özellikle gazeteciler ve sivil toplum çalışanlarının dikkatli olması gerektiğini söyledi.