Dalam beberapa hari terakhir, peringatan serius telah dikeluarkan: kerentanan tanpa klik di WhatsApp Serangan ini memengaruhi pengguna iOS dan macOS dan secara aktif dieksploitasi dalam rantai yang lebih luas yang juga memanfaatkan kelemahan sistem operasi di Apple. Kasus ini telah diperbaiki, tetapi episode ini membuka kembali perdebatan tentang maraknya kampanye yang menggabungkan beberapa zero-day untuk mengirimkan spyware tanpa interaksi pengguna.
Gambaran lengkapnya mencakup dua bagian utama: bug WhatsApp yang diidentifikasi sebagai CVE-2025-55177, dan zero-day Apple CVE-2025-43300Menurut peringatan resmi dan konfirmasi dari para peneliti dari organisasi seperti Amnesty International, serangan tersebut aktif selama sekitar 90 hari dan menargetkan sekelompok kecil orang, kurang dari 200 tujuan, dalam operasi yang sangat tertarget. Meskipun Meta dan Apple bereaksi cepat dengan patch, langkah-langkah berdampak tinggi telah direkomendasikan, seperti reset pabrik perangkat yang berpotensi disusupi.
Apa yang terjadi dan mengapa hal ini penting
Pada akhir bulan Agustus, Apple meluncurkan pembaruan darurat untuk menutup CVE-2025-43300, masalah penulisan di luar batas yang kritis dalam kerangka pencitraannya (ImageIO) yang memengaruhi iOS, iPadOS, dan macOS. Perusahaan mengakui eksploitasi aktif dan menggambarkan serangan yang sangat canggih terhadap individu-individu tertentu. Inilah latar belakang yang kini telah dikonfirmasi sebagai penyebab adanya hubungan kedua: CVE-2025-55177 di WhatsApp untuk iOS dan macOS.
Bug WhatsApp sudah diperbaiki di versi terbaru, namun digunakan bersamaan dengan bug Apple untuk mendorong rantai eksploitasi tanpa klik. Dalam pendekatan ini, korban tidak perlu membuka apa pun atau menyentuh ponsel: cukup bagi perangkat untuk memproses konten berbahaya yang masuk melalui saluran yang sesuai, sesuatu yang mengurangi gesekan hingga nol bagi penyerang dan meningkatkan risiko.
Kasus ini sesuai dengan tren yang jelas: aktor tingkat lanjut menghubungkan beberapa kerentanan ke menghindari kontrol dan mencapai persistensi. Ini bukan fenomena baru, tetapi penggunaannya terus meningkat selama empat tahun terakhir; Grup Analisis Ancaman Google mencatat 75 zero-day dieksploitasi secara aktif pada tahun 2024, dan pada tahun 2025 zero-day tetap menjadi vektor kompromi awal utama dalam sekitar sepertiga intrusi.
WhatsApp secara langsung memberitahukan mereka yang mungkin terkena dampak dan, selain patch, merekomendasikan tindakan tegas: mengembalikan perangkat ke pengaturan pabrikAlasannya jelas: bahkan jika eksploitasi khusus di WhatsApp dinonaktifkan, ada kemungkinan sistem tetap berkomitmen oleh komponen malware yang persisten.
Cara kerja serangan tanpa klik
Serangan zero-click pada dasarnya adalah eksploitasi yang tidak memerlukan interaksi dari pihak pengguna. Tidak membuka pesan, mengklik tautan, atau mengunduh apa pun: yang dibutuhkan hanyalah sistem menerima dan memproses masukan berbahaya. Dengan meniadakan intervensi korban, jenis eksploitasi ini sangat berbahaya dan sulit dideteksi pada waktunya.
Dalam kasus yang diselidiki, vektor dimulai dari WhatsApp dan mengeksploitasi pemeriksaan izin tidak mencukupi dalam alur sinkronisasi perangkat yang terhubung. Setelah pijakan awal tersebut, rantai tersebut dikombinasikan dengan kerentanan Apple untuk meningkatkan hak istimewa, bertahan, dan berpotensi memberikan spyware dengan kemampuan canggih (akses ke data, mikrofon atau kamera, antara lain).
Kuncinya adalah WhatsApp berjalan dengan izin terbatas, sehingga serangan penuh sering kali memerlukan lapisan kedua dalam sistem untuk mendapatkan ketahanan dan kemampuan yang lebih dalam. rantai kegagalan Inilah yang telah diamati di sini.
Dari perspektif pertahanan, zero-click memaksa kita untuk memperkuat permukaan serangan pada titik di mana sistem secara otomatis memproses konten (pengurai media, pustaka gambar, rutin sinkronisasi), karena mereka menjadi target prioritas bagi penyerang dengan sumber daya.
Detail teknis CVE-2025-55177 (WhatsApp)
Pengidentifikasi CVE-2025-55177 menjelaskan otorisasi tidak lengkap pesan sinkronisasi pada perangkat WhatsApp yang terhubung. Dalam praktiknya, verifikasi yang longgar ini akan memungkinkan aktor jarak jauh pemrosesan paksa konten dari URL sembarangan di perangkat korban, tanpa memerlukan interaksi apa pun.
WhatsApp mengatakan kerentanan itu dieksploitasi dalam serangan yang ditargetkan, dan memperkirakan jumlah korban yang kecil (kurang dari 200) selama tiga bulan terakhir. Skor keparahan yang terkait dengan beberapa catatan publik adalah CVSS 5.4; namun, dampak sebenarnya meningkat ketika menjadi bagian dari rantai zero-click dengan sistem zero-day.
Mengenai dampaknya, penasihat vendor mengindikasikan bahwa masalah tersebut memengaruhi beberapa cabang aplikasi: WhatsApp untuk iOS sebelum versi 2.25.21.73; WhatsApp Business untuk iOS sebelum 2.25.21.78; dan WhatsApp untuk Mac sebelum 2.25.21.78. Versi ini sudah memiliki patch yang dirilis.
Meta dan WhatsApp menyarankan, selain melakukan pembaruan, mengambil langkah-langkah penahanan luar biasa jika terdapat tanda-tanda penyusupan: reset pabrik, perbarui sistem operasi, lalu tinjau pengaturan dan izin.
Tautan Apple: CVE-2025-43300 dan Pembaruan
Bagian lain dari rantai tersebut adalah CVE-2025-43300, Penulisan di luar batas di ImageIO Apple menambalnya pada akhir Agustus. Perusahaan mengeluarkan pembaruan darurat untuk iOS, iPadOS, dan macOS, yang menyatakan bahwa ada laporan eksploitasi aktif terhadap target tertentu dan menggambarkan serangan tersebut sebagai sangat canggih.
Versi dengan perbaikan meliputi: iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 y macOS Venture 13.7.8Meskipun Apple belum merilis detail teknis yang mendalam, kerangka kerja pemrosesan gambar secara historis telah kandidat prioritas bagi penyerang karena tingginya volume konten yang “diserap” oleh aplikasi dan layanan sistem.
Para ahli independen menekankan bahwa ketika pustaka gambar inti seperti ImageIO memiliki kelemahan yang dapat dieksploitasi, cakupan potensialnya meluas, karena banyak aplikasi bisa menjadi vektor masukan, bukan hanya aplikasi tertentu.
Cakupan, korban dan atribusi
Meta mengonfirmasi bahwa mereka telah memberi tahu individu yang berpotensi terkena dampak dan bahwa jumlah tujuan jumlahnya kurang dari 200. Donncha Ó Cearbhaill, dari Lab Keamanan Amnesty International, mengatakan ini adalah kampanye spyware canggih yang akan beroperasi selama 90 hari terakhir dan memengaruhi anggota masyarakat sipil, jurnalis, dan profil sensitif lainnya.
Dalam analisis publiknya, Amnesty memperingatkan bahwa dampaknya mungkin tidak terbatas pada satu platform saja, dan menunjukkan adanya tanda-tanda dampak pada iPhone dan AndroidPada saat yang sama, WhatsApp dan Apple telah dengan jelas menentukan perimeter versi dan sistem yang terlibat, sehingga tindakan segera adalah terapkan semua pembaruan tersedia dan ikuti rekomendasi penahanan.
Pakar Pierluigi Paganini menilai insiden ini sebagai pengingat bahwa bahkan platform besar dan terlindungi dengan baik pun tetap mempertahankan permukaan yang terbukaPenggunaan zero-click dalam kampanye pengawasan negara dan komersial telah meningkat, memperkuat kebutuhan akan kontrol yang lebih baik, transparansi dan audit keamanan.
Versi yang terdampak dan patch yang tersedia
WhatsApp telah merilis perbaikan untuk semua cabang yang terdampak pelanggannya di Apple:
- WhatsApp untuk iOS- Perbarui ke 2.25.21.73 atau lebih tinggi.
- WhatsApp Business untuk iOS- Perbarui ke 2.25.21.78 atau lebih tinggi.
- WhatsApp untuk Mac- Perbarui ke 2.25.21.78 atau lebih tinggi.
Dari sisi Apple, penting untuk menginstal versi yang ditambal: iOS 18.6.2, iPadOS 18.6.2 / 17.7.10, macOS 15.6.1 / 14.7.8 / 13.7.8Karena rantai yang diamati menggabungkan aplikasi dan sistem, perlindungan yang efektif memerlukan perbarui keduanya.
Selain itu, Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkan CVE-2025-55177 ke katalognya Kerentanan yang Dieksploitasi yang Diketahui (KEV) pada tanggal 2 September, memerintahkan badan-badan federal untuk menambalnya paling lambat tanggal 23 September, memperkuat urgensi kasus tersebut.
Rekomendasi mendesak bagi pengguna
Meskipun patch sekarang tersedia, jika Anda telah menerima pemberitahuan atau mencurigai adanya penyusupan, disarankan untuk mengambil tindakan yang tepat. penahanan dan sanitasi lebih ketat, seperti meninjau salinan cadangan dan ikuti langkah-langkah yang ditunjukkan:
- Perbarui WhatsApp (iOS, Business, dan Mac) ke versi yang ditunjukkan atau lebih tinggi.
- Terapkan semua Pembaruan iOS, iPadOS, dan macOS dengan patch keamanan terbaru.
- Jika ada tanda-tanda intrusi, lakukan reset pabrik dari perangkat dan menginstal ulang dari awal.
- Tinjau dan perkuat izin aplikasi, nonaktifkan fitur yang tidak diperlukan dan aktifkan 2FA jika perlu.
Tindakan ini meminimalkan kemungkinan persistensi komponen berbahaya yang telah dipasang dengan memanfaatkan rantai eksploitasi, dan mengurangi risiko upaya infeksi ulang.
Langkah-langkah untuk perusahaan dan tim keamanan
Di lingkungan perusahaan, prioritasnya adalah mengatur penambalan Dengan solusi MDM, verifikasi kepatuhan versi dan pantau tanda-tanda perilaku anomali pada titik akhir dan akun.
Rekomendasi utama untuk tim SOC dan perburuan ancaman: mengumpulkan dan menganalisis log terkait dengan pengiriman pesan, sinkronisasi antara perangkat yang terhubung, peristiwa jaringan dan proses multimedia, mencari pola yang tidak biasa.
Jika terdapat kecurigaan yang beralasan, disarankan untuk memulai prosedur analisis forensik (pembuangan/file logis, tinjauan persistensi dan profil eksekusi) dan berkoordinasi dengan penyedia EDR untuk aturan penahanan sementara.
Berguna untuk menentukan buku pedoman khusus untuk aplikasi perpesanan tanpa klik, karena aliran input dan penguraian konten berbeda dari intrusi berbasis phishing tradisional.
Deteksi dan Respons: SOC Prime dan Uncoder AI
Untuk memperkuat kapasitas deteksi, Platform SOC Prime menawarkan akses ke pasar global dengan lebih dari 600.000 aturan deteksi dan kueri yang dibuat oleh teknisi khusus, diperbarui setiap hari dan diperkaya dengan intelijensi ancaman.
Deteksi ini selaras dengan MITRE ATT & CK dan menyertakan tautan CTI, garis waktu serangan, konfigurasi audit, rekomendasi triase, dan metadata, sehingga memudahkan untuk pemetaan taktis-teknis dan operabilitas di berbagai SIEM, EDR, dan danau data.
Tim dapat menjelajahi kumpulan aturan Sigma berbasis perilaku di bawah label "CVE" menggunakan fungsi Jelajahi Deteksi, mempercepat cakupan terhadap ancaman aktif dan yang muncul di seluruh dunia CVE-2025-55177.
Selain itu, Pembuka Kode AI —IDE/kopilot rekayasa deteksi—menggabungkan mode obrolan dan dukungan untuk alat MCP, yang memungkinkan IOC diubah menjadi konsultasi perburuan Dalam hitungan detik, hasilkan kode deteksi dari laporan mentah, buat diagram alur serangan, prediksi tag ATT&CK, optimalkan kueri dengan AI, dan terjemahkan konten antar platform.
Tren: Meningkatnya zero-day berantai
Beberapa tahun terakhir menunjukkan peningkatan berkelanjutan dalam eksploitasi zero-day, dengan variasi tahunan yang kecil. Google TAG mendokumentasikan 75 kasus pada tahun 2024, dan pada tahun 2025 zero-day terus menjadi mekanisme akses awal utama dalam sekitar sepertiga upaya intrusi.
Aktor dengan sumber daya lebih banyak cenderung kerentanan berantai —aplikasi + sistem— untuk melewati mitigasi modern, yang meningkatkan standar pertahanan: satu patch saja tidak lagi cukup, tetapi cakupan terkoordinasi yang mencakup deteksi pasca-eksploitasi.
Dalam konteks ini, kerangka kerja seperti ATT&CK dan repositori komunitas deteksi yang berpusat pada perilaku (misalnya, Sigma) membantu menggeneralisasi cakupan yang tidak bergantung pada indikator yang rapuh.
Kasus WhatsApp/Apple menegaskan kembali bahwa pengurai konten dan aliran “diam” (tanpa klik pengguna) akan tetap menjadi sorotan karena potensinya untuk membahayakan sistem secara diam-diam.
Kronologi dan validasi resmi
Apple merilis patch darurat pada akhir Agustus untuk CVE-2025-43300 dan memperingatkan eksploitasi aktif terhadap korban tertentu. WhatsApp kemudian merilis Pembaruan pada bulan Juli dan Agustus untuk memperbaiki CVE-2025-55177 di iOS, Business, dan Mac.
Pada tanggal 2 September, CISA memasukkan CVE-2025-55177 ke dalam katalog KEV-nya, yang memaksa badan-badan federal AS untuk patch sebelum 23 SeptemberSecara paralel, WhatsApp mengirimkan peringatan kepada mereka yang berpotensi terkena dampak, merekomendasikan reset pabrik dan selalu memperbarui sistem operasinya.
Pernyataan Meta menekankan bahwa perubahan telah dilakukan untuk mencegah terulangnya serangan khusus ini melalui WhatsApp, dan menambahkan bahwa sistem operasi dapat tetap terekspos jika jejak malware tersebut tetap ada.
Latar Belakang WhatsApp vs. Spyware
Kejadian ini bukan satu-satunya. Pada bulan Maret, peneliti Citizen Lab melaporkan kejadian lain kelemahan zero-day yang dieksploitasi untuk memasang spyware Graphite Paragon; WhatsApp mengumumkan bahwa mereka telah menghentikan kampanye tersebut dan menghubungi para korban.
Selain itu, pada tahun 2019, WhatsApp menggugat NSO Group oleh Pegasus. Pada bulan Mei 2024, pengadilan AS memerintahkan NSO untuk membayar 167 juta dalam ganti rugi, memperkuat gagasan bahwa platform bersedia mengajukan tuntutan hukum untuk mencegah operasi ini.
Terulangnya kasus-kasus ini telah mendorong Meta dan komunitas keamanan untuk mendorong kontrol yang lebih kuat, serta transparansi yang lebih besar dalam proses pengungkapan dan perbaikan yang terkoordinasi.
Android: Patch Keamanan September 2025
Meskipun insiden utama memengaruhi sistem Apple, lanskap seluler secara umum juga mengalami perubahan. Google menerbitkan Patch keamanan September 2025 untuk Android, memperbaiki 84 kerentanan, termasuk dua yang dieksploitasi secara aktif: CVE-2025-38352 (kondisi balapan di timer POSIX kernel Linux dengan peningkatan hak istimewa/DoS) dan CVE-2025-48543 (Cacat Android Runtime yang memungkinkan aplikasi berbahaya menghindari kotak pasir).
Empat kerentanan kritis juga diperbaiki, termasuk CVE-2025-48539, sebuah RCE dalam komponen SYSTEM yang dapat diaktifkan melalui Bluetooth atau Wi-Fi tanpa interaksi pengguna. Tiga lainnya (CVE-2025-21450, CVE-2025-21483, CVE-2025-27034) memengaruhi komponen Qualcomm, dengan kerusakan memori dan kesalahan validasi yang memungkinkan RCE pada modem pita dasar.
Patch tersedia untuk Android 13 hingga 16, dan direkomendasikan untuk memperbarui ke level terbaru. 2025-09-01 o 2025-09-05Untuk perangkat yang menjalankan Android 12 atau versi lebih lama, masuk akal untuk ganti mereka atau menggunakan distribusi yang didukung secara aktif. Detail publik lebih lanjut dibagikan di Komunikasi ini.
Konteks ini mengingatkan kita bahwa, terlepas dari ekosistem, kebersihan patch dan tata kelola perangkat tetap kritis untuk mengurangi permukaan serangan terhadap eksploitasi tanpa klik.
Layanan khusus dan dukungan eksternal
Selain patch, beberapa organisasi memilih untuk mengandalkan vendor dengan kemampuan patching tingkat lanjut. keamanan siber dan pembangunan untuk memperkuat posisi mereka. Perusahaan seperti Q2BSTUDIO menggabungkan perangkat lunak khusus dan pengembangan aplikasi, kecerdasan buatan, dan layanan terkelola cloud (AWS/Azure) untuk menyebarkan patch dan meningkatkan skala deteksi secara aman.
Layanan ini mencakup praktik pengerasan, tes penetrasi dan audit, serta solusi intelijen bisnis (misalnya, Power BI) untuk memvisualisasikan risiko dan metrik operasional. Mereka juga mengembangkan agen AI untuk deteksi anomali waktu nyata dan otomatisasi respons insiden.
Referensi dan pemberitahuan resmi
Jika Anda memerlukan informasi teknis lebih lanjut, Anda dapat berkonsultasi dengan sumber publik dan pemberitahuan pemasok: NVD (CVE-2025-55177), Pemberitahuan Keamanan Meta, The Hacker News y BleepingComputer, selain Pembaruan Apple tersebut.
Semuanya mengarah pada fakta bahwa pertahanan terbaik adalah menjaga sistem dan aplikasi tetap mutakhir, memperkuat konfigurasi, dan menggabungkan deteksi berbasis perilaku dan memiliki buku pedoman respons. Pelajaran dari kampanye ini jelas: ketika seorang aktor menggabungkan kegagalan aplikasi dengan zero-day sistem, ruang untuk mendeteksinya tepat waktu semakin menyempit, jadi disarankan untuk meningkatkan standar pencegahan dan pengawasan secara berkelanjutan.