Source: 39c3 — présentation par l’équipe Fuse Security. Le talk revient sur une attaque 0‑click in‑the‑wild visant WhatsApp sur appareils Apple et, par liens techniques, des appareils Samsung, en détaillant et en reproduisant la chaîne d’exploits autour de CVE‑2025‑55177, CVE‑2025‑43300 et CVE‑2025‑21043.

• Contexte et chronologie. En août 2025, Apple corrige CVE‑2025‑43300, signalée comme exploitée in‑the‑wild dans une attaque « extrêmement sophistiquée ». Une semaine plus tard, WhatsApp publie un correctif pour CVE‑2025‑55177, également exploitée. Des éléments probants indiquent que ces failles ont été chaînées pour livrer un exploit via WhatsApp et voler des données d’appareils Apple, sans interaction utilisateur. En septembre, Samsung corrige CVE‑2025‑21043, une écriture OOB dans une bibliothèque de parsing d’images, confirmée exploitée.

• Vecteur 0‑click WhatsApp — CVE‑2025‑55177. Les auteurs décrivent une surface d’attaque 0‑click dans la logique de traitement des messages liés aux « appareils liés » (insuffisance de validation). Un attaquant, connaissant le numéro de la victime, peut fabriquer des messages de protocole malveillants pour déclencher le chemin vulnérable et forcer WhatsApp à charger du contenu arbitraire.

• Vulnérabilité iOS d’analyse d’images — CVE‑2025‑43300. L’exploit initial contraint WhatsApp à charger du contenu web arbitraire, où un fichier DNG malveillant est intégré afin de déclencher un bug dans la bibliothèque d’analyse d’images d’iOS. L’analyse cible le framework RawCamera et met en évidence un out‑of‑bounds (OOB) lors du parsing des images DNG.

• Reconstitution de la chaîne et PoC. Les chercheurs détaillent la chaîne d’exploitation et présentent un PoC capable de faire crasher simultanément WhatsApp sur iPhone, iPad et Mac. Côté Samsung, ils relient leurs constats à CVE‑2025‑21043 (écriture OOB dans une librairie d’images, signalée par les équipes sécurité de Meta/WhatsApp), confirment l’exploitation in‑the‑wild, et annoncent la découverte de plusieurs 0‑day supplémentaires non divulgués auparavant.

• IOC/TTPs. TTPs: 0‑click via WhatsApp, abus de la logique d’appareils liés (validation insuffisante), forçage de chargement web dans l’app, embedding d’image DNG malveillante, exploitation d’OOB dans RawCamera (iOS) et d’OOB write dans une librairie image (Samsung). IOCs: non communiqués dans ce descriptif.

Type d’article: publication de recherche (présentation de conférence) visant à documenter et démontrer une chaîne d’exploits 0‑click multi‑plateforme.

🧠 TTPs et IOCs détectés

TTP

0-click via WhatsApp, abus de la logique d’appareils liés (validation insuffisante), forçage de chargement web dans l’app, embedding d’image DNG malveillante, exploitation d’OOB dans RawCamera (iOS) et d’OOB write dans une librairie image (Samsung).

IOC

Non communiqués dans ce descriptif.

🔗 Source originale : https://media.ccc.de/v/39c3-dngerouslink-a-deep-dive-into-whatsapp-0-click-exploits-on-ios-and-samsung-devices