[CVE-2025-55177] Celah keamanan 0-Day pada Whatsapp (iOS & Mac)

Dibuat : Selasa, 07 Oktober 2025 | Penulis : Admin TTIS

Baru-baru ini terungkap sebuah kerentanan keamanan kritis pada aplikasi WhatsApp untuk platform iOS dan macOS — yang diberi identifikasi CVE-2025-55177. Kerentanan ini memungkinkan seorang aktor (attacker) tidak berwenang memicu pemrosesan konten dari URL apa pun pada perangkat korban, dengan memanfaatkan kelemahan otorisasi di mekanisme sinkronisasi “linked device”. NVD

Detil Teknis

• Kerentanan ini terkait dengan incomplete authorization pada pesan sinkronisasi perangkat terhubung (linked device synchronization messages) pada:
• WhatsApp untuk iOS versi sebelum v2.25.21.73 NVD
• WhatsApp Business untuk iOS versi sebelum v2.25.21.78 NVD
• WhatsApp untuk Mac versi sebelum v2.25.21.78 NVD
• Karena kelemahan otorisasi ini, pengguna yang tidak berkaitan dapat menyuntikkan sebuah URL arbitrary melalui sinkronisasi dan memaksa aplikasi korban memproses konten dari URL tersebut. NVD
• WhatsApp menyatakan bahwa kerentanan ini kemungkinan dieksploitasi bersama dengan kerentanan di tingkat sistem operasi Apple (CVE-2025-43300) dalam serangan yang sangat terarah terhadap pengguna tertentu. NVD
• Menurut Facebook (penyedia WhatsApp), kerentanan ini dikategorikan sebagai CWE-863: Incorrect Authorization NVD
• Dari sudut pandang penilaian skor keamanan:
• Facebook mengeluarkan skor CVSS 3.x = 5.4 (Medium) dengan vektor: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N NVD
• NVD belum mengisi skor CVSS versi 4.0 ataupun versi 3.x secara resmi (belum dinilai secara independen) pada saat ini. NVD
• Selain itu, kerentanan ini sudah masuk dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA (Cybersecurity and Infrastructure Security Agency) Amerika Serikat, yang berarti dianggap sebagai kerentanan yang telah atau mudah dieksploitasi di dunia nyata. NVD

Implikasi & Dampak

• Jika berhasil dieksploitasi, penyerang dapat memaksa aplikasi WhatsApp di perangkat korban untuk memproses atau memuat data berbahaya dari URL yang dikendalikan penyerang  misalnya konten skrip, muatan eksternal, atau modul jahat lainnya.
• Dalam skenario ekstrem dan dengan dukungan kerentanan sistem operasi (seperti disebut CVE-2025-43300), penyerang berpotensi melakukan eskalasi serangan yang lebih serius misalnya pengambilalihan perangkat atau pencurian data sensitif.
• Karena ini melibatkan sinkronisasi perangkat, pengguna dengan perangkat banyak (misalnya pengguna WhatsApp Desktop + iPhone + iPad) memiliki risiko yang lebih besar terhadap jalur serangan lintas-perangkat.

Rekomendasi & Mitigasi

• Segera perbarui (update) aplikasi WhatsApp ke versi minimal:
• iOS: setidaknya v2.25.21.73 atau lebih baru NVD
• WhatsApp Business iOS: setidaknya v2.25.21.78 atau lebih baru NVD
• macOS: setidaknya v2.25.21.78 atau lebih baru NVD
• Pantau pengumuman resmi dari WhatsApp / Meta mengenai patch keamanan atau mitigasi tambahan.
• Untuk organisasi: pertimbangkan untuk membatasi sinkronisasi perangkat baru hingga patch diterapkan, dan gunakan kebijakan keamanan perangkat keras/OS yang ketat.
• Pastikan sistem operasi Apple di iOS / macOS juga telah diperbarui (khususnya jika ada kaitannya dengan CVE-2025-43300) agar tidak memberi jalan masuk tambahan.