CVE-2025-43200: iPhone больше не нужен хакеру — теперь он нужен государству
NewsMakeriCloud стал туннелем для шпионов.
Apple устранила критическую уязвимость в приложении Messages, которая использовалась для проведения Zero Click атак на журналистов в Европе. Ошибка позволяла заражать устройства без взаимодействия со стороны пользователя — достаточно было получить специально подготовленное сообщение через iCloud Link. Подробности атаки, её механизмы и последствия раскрыли специалисты Citizen Lab, которые провели судебно-техническое расследование по следам реальных атак.
Уязвимость под идентификатором CVE-2025-43200 была устранена 10 февраля 2025 года в обновлениях iOS 18.3.1 https://support.apple.com/en-us/122174?utm_source=Securitylab.ru , iPadOS 18.3.1 , iPadOS 17.7.5 , macOS Sequoia 15.3.1 , macOS Sonoma 14.7.4 , macOS Ventura 13.7.4 , watchOS 11.3.1 и visionOS 2.3.1 . Согласно пояснениям Apple, проблема была вызвана логической ошибкой при обработке фото или видео, пересылаемых через iCloud-ссылки. Для её закрытия компания внедрила дополнительные проверки.
Официально Apple подтвердила, что уязвимость использовалась в ходе «чрезвычайно изощрённой атаки» на строго определённых лиц. Хотя детали самой атаки в уведомлении не раскрывались, анализ Citizen Lab показал, что брешь эксплуатировалась для заражения iPhone двух журналистов — Чиро Пеллегрино из итальянского издания Fanpage.it и одного анонимного европейского журналиста. Оба устройства работали под управлением iOS 18.2.1. Внедрение шпионского ПО происходило в январе и начале февраля 2025 года, и не было визуально заметно для пользователей.
На взломанные устройства был установлен Graphite — продвинутый инструмент слежки, разработанный израильской компанией Paragon. Этот шпионский модуль позволяет удалённо получить доступ к сообщениям, электронной почте, микрофону, камере и местоположению устройства. Его использование обычно ограничено правительственными структурами, и официально он позиционируется как средство борьбы с преступностью и угрозами национальной безопасности.
Citizen Lab установила, что заражение обоих журналистов происходило с одного и того же Apple-аккаунта, обозначенного как «ATTACKER1». Это указывает на то, что обе атаки исходили от одного клиента Paragon. Уведомления от Apple о попытках шпионского взлома были отправлены обоим пострадавшим 29 апреля 2025 года. Система оповещений Apple, действующая с 2021 года, сообщает пользователям о возможном воздействии со стороны государственных операторов, но не гарантирует наличие фактической инфекции.
Дополнительную тревогу вызывает тот факт, что одновременно с CVE-2025-43200 Apple устранила ещё одну уязвимость — CVE-2025-24200, которая также эксплуатировалась в реальных атаках. Об этой ошибке компания сообщила только спустя время, не уточняя причины отсрочки.
Инцидент оказался тесно связан с другим скандалом, начавшимся в январе. Тогда компания Meta* сообщила, что Graphite использовался для атаки на десятки пользователей WhatsApp по всему миру. Среди жертв был журналист Франческо Канчеллато — коллега Чиро Пеллегрино. Таким образом, общее число известных пострадавших от Graphite достигло семи человек.
После разразившегося скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. В официальном заявлении Paragon отметила, что предложила итальянским властям и парламенту провести независимую проверку и доказать, что Graphite не использовался против журналиста в нарушение закона и условий контракта. Италия отказалась, сославшись на соображения национальной безопасности, и заявила , что расторжение было взаимным.
На фоне конфликта парламентский комитет по безопасности COPASIR выпустил отчёт , в котором признал, что итальянские спецслужбы действительно применяли Graphite для целенаправленного наблюдения — но только в рамках закона и после получения всех необходимых разрешений. По словам комитета, программа использовалась для борьбы с терроризмом, организованной преступностью, незаконной миграцией, контрабандой топлива, шпионажем и поиском беглецов. При этом устройство Канчеллато, как утверждается в документе, не входило в число целей, что оставляет вопрос о настоящем источнике слежки открытым.
Отчёт также раскрывает внутренние механизмы работы Graphite. Для использования шпионской системы оператор должен пройти авторизацию с логином и паролем. Каждый сеанс работы логируется на сервере, которым управляет клиент — именно он, а не Paragon, контролирует хранение и доступ к журналам активности. Это означает, что конечный пользователь может использовать Graphite полностью автономно, без внешнего контроля или мониторинга.
Citizen Lab в очередной раз подчеркнула, что такие инциденты демонстрируют, насколько беззащитными остаются журналисты перед коммерческими средствами цифровой слежки. Сложность выявления, отсутствие прозрачных процедур, а также возможность бесконтактного заражения делают подобные атаки особенно опасными. Ситуация наглядно показывает, насколько необходимо срочное усиление международного контроля и правового регулирования в сфере цифрового наблюдения.
Тем временем в киберпространстве разворачивается новое направление угроз. Группа Insikt Group из Recorded Future** зафиксировала возобновление активности другого израильского шпионского ПО — Predator, созданного Intellexa/Cytrox. После санкций со стороны США разработчики изменили инфраструктуру и вернулись к активной работе. Исследователи выявили новые серверы Tier 1, указывающие на заражения в Мозамбике, а также связь с чешской компанией FoxITech s.r.o., ранее аффилированной с консорциумом Intellexa.
Predator в последние два года использовался в более чем десятке стран, среди которых Ангола, Армения, Египет, Индонезия, Монголия, Саудовская Аравия и Филиппины. Более половины известных клиентов программы находятся в Африке. По мнению аналитиков, всплеск активности объясняется высоким спросом в странах, подпадающих под экспортные ограничения, а также использованием запутанных корпоративных структур, мешающих отслеживанию происхождения и конечного пользователя.
Специалисты подчёркивают, что появление новых заражений, параллельно с атаками с использованием Graphite, подчёркивает масштаб угрозы. Устройства, данные и частная жизнь могут оказаться под наблюдением без уведомлений, ордеров или заметных признаков. Цифровая слежка становится инструментом без обратной связи и без внешнего контроля.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
** Recorded Future признана нежелательной организацией в России.
Apple устранила критическую уязвимость в приложении Messages, которая использовалась для проведения Zero Click атак на журналистов в Европе. Ошибка позволяла заражать устройства без взаимодействия со стороны пользователя — достаточно было получить специально подготовленное сообщение через iCloud Link. Подробности атаки, её механизмы и последствия раскрыли специалисты Citizen Lab, которые провели судебно-техническое расследование по следам реальных атак.
Уязвимость под идентификатором CVE-2025-43200 была устранена 10 февраля 2025 года в обновлениях iOS 18.3.1 https://support.apple.com/en-us/122174?utm_source=Securitylab.ru , iPadOS 18.3.1 , iPadOS 17.7.5 , macOS Sequoia 15.3.1 , macOS Sonoma 14.7.4 , macOS Ventura 13.7.4 , watchOS 11.3.1 и visionOS 2.3.1 . Согласно пояснениям Apple, проблема была вызвана логической ошибкой при обработке фото или видео, пересылаемых через iCloud-ссылки. Для её закрытия компания внедрила дополнительные проверки.
Официально Apple подтвердила, что уязвимость использовалась в ходе «чрезвычайно изощрённой атаки» на строго определённых лиц. Хотя детали самой атаки в уведомлении не раскрывались, анализ Citizen Lab показал, что брешь эксплуатировалась для заражения iPhone двух журналистов — Чиро Пеллегрино из итальянского издания Fanpage.it и одного анонимного европейского журналиста. Оба устройства работали под управлением iOS 18.2.1. Внедрение шпионского ПО происходило в январе и начале февраля 2025 года, и не было визуально заметно для пользователей.
На взломанные устройства был установлен Graphite — продвинутый инструмент слежки, разработанный израильской компанией Paragon. Этот шпионский модуль позволяет удалённо получить доступ к сообщениям, электронной почте, микрофону, камере и местоположению устройства. Его использование обычно ограничено правительственными структурами, и официально он позиционируется как средство борьбы с преступностью и угрозами национальной безопасности.
Citizen Lab установила, что заражение обоих журналистов происходило с одного и того же Apple-аккаунта, обозначенного как «ATTACKER1». Это указывает на то, что обе атаки исходили от одного клиента Paragon. Уведомления от Apple о попытках шпионского взлома были отправлены обоим пострадавшим 29 апреля 2025 года. Система оповещений Apple, действующая с 2021 года, сообщает пользователям о возможном воздействии со стороны государственных операторов, но не гарантирует наличие фактической инфекции.
Дополнительную тревогу вызывает тот факт, что одновременно с CVE-2025-43200 Apple устранила ещё одну уязвимость — CVE-2025-24200, которая также эксплуатировалась в реальных атаках. Об этой ошибке компания сообщила только спустя время, не уточняя причины отсрочки.
Инцидент оказался тесно связан с другим скандалом, начавшимся в январе. Тогда компания Meta* сообщила, что Graphite использовался для атаки на десятки пользователей WhatsApp по всему миру. Среди жертв был журналист Франческо Канчеллато — коллега Чиро Пеллегрино. Таким образом, общее число известных пострадавших от Graphite достигло семи человек.
После разразившегося скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. В официальном заявлении Paragon отметила, что предложила итальянским властям и парламенту провести независимую проверку и доказать, что Graphite не использовался против журналиста в нарушение закона и условий контракта. Италия отказалась, сославшись на соображения национальной безопасности, и заявила , что расторжение было взаимным.
На фоне конфликта парламентский комитет по безопасности COPASIR выпустил отчёт , в котором признал, что итальянские спецслужбы действительно применяли Graphite для целенаправленного наблюдения — но только в рамках закона и после получения всех необходимых разрешений. По словам комитета, программа использовалась для борьбы с терроризмом, организованной преступностью, незаконной миграцией, контрабандой топлива, шпионажем и поиском беглецов. При этом устройство Канчеллато, как утверждается в документе, не входило в число целей, что оставляет вопрос о настоящем источнике слежки открытым.
Отчёт также раскрывает внутренние механизмы работы Graphite. Для использования шпионской системы оператор должен пройти авторизацию с логином и паролем. Каждый сеанс работы логируется на сервере, которым управляет клиент — именно он, а не Paragon, контролирует хранение и доступ к журналам активности. Это означает, что конечный пользователь может использовать Graphite полностью автономно, без внешнего контроля или мониторинга.
Citizen Lab в очередной раз подчеркнула, что такие инциденты демонстрируют, насколько беззащитными остаются журналисты перед коммерческими средствами цифровой слежки. Сложность выявления, отсутствие прозрачных процедур, а также возможность бесконтактного заражения делают подобные атаки особенно опасными. Ситуация наглядно показывает, насколько необходимо срочное усиление международного контроля и правового регулирования в сфере цифрового наблюдения.
Тем временем в киберпространстве разворачивается новое направление угроз. Группа Insikt Group из Recorded Future** зафиксировала возобновление активности другого израильского шпионского ПО — Predator, созданного Intellexa/Cytrox. После санкций со стороны США разработчики изменили инфраструктуру и вернулись к активной работе. Исследователи выявили новые серверы Tier 1, указывающие на заражения в Мозамбике, а также связь с чешской компанией FoxITech s.r.o., ранее аффилированной с консорциумом Intellexa.
Predator в последние два года использовался в более чем десятке стран, среди которых Ангола, Армения, Египет, Индонезия, Монголия, Саудовская Аравия и Филиппины. Более половины известных клиентов программы находятся в Африке. По мнению аналитиков, всплеск активности объясняется высоким спросом в странах, подпадающих под экспортные ограничения, а также использованием запутанных корпоративных структур, мешающих отслеживанию происхождения и конечного пользователя.
Специалисты подчёркивают, что появление новых заражений, параллельно с атаками с использованием Graphite, подчёркивает масштаб угрозы. Устройства, данные и частная жизнь могут оказаться под наблюдением без уведомлений, ордеров или заметных признаков. Цифровая слежка становится инструментом без обратной связи и без внешнего контроля.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
** Recorded Future признана нежелательной организацией в России.