WhatsApp pod útokem! Útočníci pronikli bez kliknutí — zranitelní jsou i Češi a Slováci. Máte správnou verzi?

Lukáš Neudert
Lukáš Neudert
Aktuality a Zprávy
WhatsApp pod útokem! Útočníci pronikli bez kliknutí — zranitelní jsou i Češi a Slováci. Máte správnou verzi?

Co se stalo: zneužitá kritická chyba ve WhatsAppu

Meta (provozovatel WhatsAppu) potvrdila, že její komunikátor čelil cílenému špionážnímu útoku, který zneužil nově popsanou zranitelnost sledovanou jako CVE‑2025‑55177. Útok byl „zero‑click“ – k nákaze stačilo, aby oběti přišla škodlivá zpráva; žádné klikání ani otevírání odkazů nebylo potřeba. Podle bezpečnostních týmů WhatsAppu byla zranitelnost zneužívána v kombinaci se systémovou chybou na platformách Apple (CVE‑2025‑43300). Společnost vydala opravy pro iOS a macOS klienty WhatsAppu a současně Apple vydal aktualizace svých systémů. Počet zasažených byl sice nízký, ale dopady závažné. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/whatsapp-patches-vulnerability-exploited-in-zero-day-attacks/?utm_source=openai), [securityweek.com](https://www.securityweek.com/whatsapp-zero-day-exploited-in-attacks-targeting-apple-users/?utm_source=openai))

Obsah

Technicky šlo o „neúplné ověřování“ zpráv pro synchronizaci spárovaných zařízení. Útočník tak mohl vyvolat zpracování obsahu z libovolné URL přímo na zařízení oběti. V praxi to umožnilo vzdáleně doručit škodlivý kód či spyware bez interakce uživatele. WhatsApp uvádí, že útok mířil na specificky vybrané uživatele, zejména osoby z občanské společnosti. I když se nejednalo o masovou kampaň, riziko bylo reálné a bez okamžité aktualizace i nadále hrozí. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/whatsapp-patches-vulnerability-exploited-in-zero-day-attacks/?utm_source=openai), [computing.co.uk](https://www.computing.co.uk/news/2025/security/whatsapp-update-now-to-fix-zero-click-exploit-on-ios-macos?utm_source=openai))

Jaké verze jsou bezpečné

Meta doporučuje mít nainstalováno minimálně: WhatsApp pro iOS verzi 2.25.21.73 a WhatsApp pro macOS verzi 2.25.21.78 (pro Business klienta na iOS pak 2.25.21.78). Záplaty pro tyto verze vyšly na přelomu července a srpna 2025, následně došlo k dalším vylepšením. Pokud používáte starší build, aktualizujte okamžitě. ([thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))

Proč se to týká Česka i Slovenska

WhatsApp patří v našem regionu k nejpoužívanějším komunikátorům v rodinách, firmách i mezi úřady. Přestože Meta uvádí méně než 200 cílených obětí celosvětově, fakta o „zero‑click“ vektoru a řetězení s chybou v systémech Apple ukazují, že škodlivý kód mohl mít při zpožděné aktualizaci zásadní dopad i na uživatele v ČR a SR – od exfiltrace citlivých dat po úplné ovládnutí zařízení. Amnesty International potvrdila, že útoky mířily i na vysoce rizikové skupiny. ([reuters.com](https://www.reuters.com/sustainability/boards-policy-regulation/whatsapp-finds-new-hacking-campaign-targeting-fewer-than-200-people-2025-08-29/?utm_source=openai), [thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))

Slovenské úřady navíc letos opakovaně varovaly před parazitními kampaněmi na WhatsAppu, které sice využívají jiné techniky (např. falešné „hlasování“ a zneužití QR pro spárování cizího zařízení), ale mají stejný výsledek: útočníci se dostanou k účtu, historii a kontaktům a mohou šířit útok dál. To ilustruje, že hrozba pro naše prostředí je dlouhodobá, ať už jde o špionážní zero‑day, nebo „obyčejný“ sociální inženýring. ([sk-cert.sk](https://www.sk-cert.sk/sk/nova-vlna-podvodnych-kampani/index.html?utm_source=openai), [spravy.pravda.sk](https://spravy.pravda.sk/domace/clanok/748381-nbu-upozornuje-na-siriace-sa-podvody-na-slovensku-aktualne-dominuju-dva-druhy/?utm_source=openai))

Kdo je nejvíc ohrožen

Podle dostupných informací mířily „zero‑click“ exploity primárně na novináře, aktivisty a další představitele občanské společnosti. Takové útoky často stojí za státem podporovaní aktéři nebo komerční prodejci spywaru. Právě kvůli tomuto profilu obětí WhatsApp rozesílal cílená varování a doporučení, včetně provedení kompletního vymazání telefonu a obnovení ze zálohy. ([reuters.com](https://www.reuters.com/sustainability/boards-policy-regulation/whatsapp-finds-new-hacking-campaign-targeting-fewer-than-200-people-2025-08-29/?utm_source=openai), [thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))

Jak zjistíte, že jste v bezpečí

  1. Zkontrolujte verzi WhatsAppu: otevřete aplikaci → Nastavení → Nápověda → Informace o aplikaci (případně ověřte verzi v App Store / Mac App Store). Bezpečné minimum: iOS 2.25.21.73 a macOS 2.25.21.78. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/whatsapp-patches-vulnerability-exploited-in-zero-day-attacks/?utm_source=openai), [thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))
  2. Aktualizujte systém: Apple opravil zranitelnost CVE‑2025‑43300 v posledních verzích iOS/iPadOS a macOS. Nainstalujte aktuální vydání pro svůj model zařízení. ([securityweek.com](https://www.securityweek.com/whatsapp-zero-day-exploited-in-attacks-targeting-apple-users/?utm_source=openai))
  3. Zkontrolujte „Propojená zařízení“ ve WhatsAppu a odpojte vše, co nepoznáváte. To je klíčové i proti kampaním, které zneužívají spárování přes QR. ([sk-cert.sk](https://www.sk-cert.sk/sk/nova-vlna-podvodnych-kampani/index.html?utm_source=openai))
  4. Na rizikových iPhonech zvažte zapnutí Režimu izolace (Lockdown Mode): Nastavení → Soukromí a zabezpečení → Režim izolace. Ten omezí část funkcí, ale dramaticky sníží plochu útoku.
  5. Zapněte dvoufázové ověření WhatsAppu a používejte jedinečný kód PIN.

Co dělat, když máte podezření na napadení

Bezpečnostní odborníci doporučují postup, který minimalizuje riziko přetrvávající kompromitace: okamžitě aktualizujte WhatsApp i operační systém, zálohujte data, proveďte tovární nastavení zařízení a obnovte pouze z čisté zálohy, ideálně starší než datum podezřelého incidentu. Pokud používáte WhatsApp pro práci, informujte IT oddělení a požádejte o přezkoumání dalších služeb (e‑mail, cloudové úložiště, přístup do firemních systémů). Tyto kroky doporučoval i WhatsApp příjemcům svých varování. ([thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))

Příběh ze života: „Lucie a Peter“, přeshraniční lekce obezřetnosti

Lucie (jméno redakce změnila) je 34letá účetní z Brna. Na WhatsAppu řeší s klienty i osobní věci a má propojený telefon s pracovním Macem. Po návratu z dovolené si všimla, že se jí z WhatsAppu odhlašují webové relace a občas se objevují „divné“ žádosti o opětovné přihlášení. V té době ještě netušila, že se mluví o novém „zero‑click“ útoku. Zůstala na starší verzi aplikace i systému – aktualizace odkládala, „protože všechno funguje“.

Ve stejný týden napsal Peter, její slovenský klient z Trenčína, že od ní přišlo přes WhatsApp „hlasování“ s prosbou o kliknutí na odkaz. Peter to naštěstí neudělal; místo toho zavolal. Lucie běžela do nastavení a našla v sekci „Propojená zařízení“ cizí relaci, kterou nepoznávala. Odpojila ji, vše aktualizovala a následovala doporučení – změnila hesla a znovu prošla verzování WhatsAppu i macOS. Tento příběh je založený na kombinaci reálných scénářů a letošních upozornění slovenských úřadů k WhatsApp podvodům se spárováním cizího zařízení. Slováci NBÚ a SK‑CERT popsali, že právě přes „hlasování“ a QR dokážou útočníci stáhnout historii zpráv a připojit si účet oběti. ([spravy.pravda.sk](https://spravy.pravda.sk/domace/clanok/748381-nbu-upozornuje-na-siriace-sa-podvody-na-slovensku-aktualne-dominuju-dva-druhy/?utm_source=openai), [sk-cert.sk](https://www.sk-cert.sk/sk/nova-vlna-podvodnych-kampani/index.html?utm_source=openai))

Luciin případ mohl dopadnout hůř. Kdyby zároveň čelila „zero‑click“ exploitu spojenému s chybou v systémech Apple, mohli by útočníci získat ještě širší přístup k zařízení a datům, a to bez jakéhokoli kliknutí. Poučení je jednoduché: odkládané aktualizace a nehlídaná propojená zařízení jsou kombinace, která v roce 2025 nemá šanci obstát. ([securityweek.com](https://www.securityweek.com/whatsapp-zero-day-exploited-in-attacks-targeting-apple-users/?utm_source=openai))

Jak se chránit dlouhodobě: 10 praktických kroků

  1. Zapněte automatické aktualizace aplikací i systému a pravidelně kontrolujte, že se opravdu instalují.
  2. Průběžně sledujte seznam „Propojená zařízení“ ve WhatsAppu. Cokoliv neznámého okamžitě odpojte. ([sk-cert.sk](https://www.sk-cert.sk/sk/nova-vlna-podvodnych-kampani/index.html?utm_source=openai))
  3. Aktivujte dvoufázové ověření (PIN) ve WhatsAppu a nepoužívejte ho nikde jinde.
  4. V iOS zvažte Režim izolace, pokud pracujete v ohrožené profesi (novináři, aktivisté, právníci, lékaři ve válečných oblastech apod.).
  5. Neotevírejte nevyžádané soubory a neinstalujte neoficiální varianty WhatsAppu. Aktualizujte pouze z App Store nebo Mac App Store.
  6. Vypněte automatické ukládání médií do galerie a omezte náhledy od neznámých kontaktů.
  7. Šifrované zálohy chraňte silným heslem; cloudové účty hlídejte pomocí 2FA.
  8. Na firemních zařízeních dodržujte MDM politiku; na vlastních přístrojích používaných pro práci (BYOD) si dohledejte firemní doporučení.
  9. Reagujte na varování WhatsAppu/Applu: pokud obdržíte bezpečnostní upozornění, jednejte podle instrukcí a v případě potřeby proveďte čistou reinstalaci zařízení. ([thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))
  10. Vzdělávejte se: útoky se vyvíjejí. To, co dnes vypadá jako „jen další zpráva“, může být zítřejší vstupní vektor do vašeho telefonu.

Dopady na firmy: nejen soukromí, ale i compliance

WhatsApp je v mnoha českých a slovenských firmách faktickou pracovním kanálem – často bez plné kontroly IT. „Zero‑click“ exploity a techniky zneužívající spárování napříč zařízeními proto ohrožují nejen soukromí, ale i firemní know‑how, smlouvy, nabídky či interní komunikaci. Firmy by měly stanovit jasná pravidla pro používání komunikátorů, vynutit aktualizace a zvážit segmentaci zařízení a dat (např. oddělené profily, mobilní správu zařízení, šifrování záloh). Pokud společnost obdrží od WhatsAppu bezpečnostní notifikaci, musí ji brát jako incident – s povinností evidence a případného hlášení dle interních i regulatorních pravidel.

Jak jsme na tom dnes

WhatsApp deklaruje, že zranitelnost opravila, a Apple už vydal aktualizace pro iOS, iPadOS a macOS. Přesto platí, že část uživatelů v regionu tradičně otálí s aktualizacemi. U „zero‑click“ útoků se přitom každá hodina počítá – i když je vlna cílená, okno zranitelnosti může útočník využít i v budoucnu proti komukoli, kdo zůstane na staré verzi. Doporučení je proto jednoduché: hned dnes večer projděte aktualizace a zkontrolujte spárovaná zařízení. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/whatsapp-patches-vulnerability-exploited-in-zero-day-attacks/?utm_source=openai), [securityweek.com](https://www.securityweek.com/whatsapp-zero-day-exploited-in-attacks-targeting-apple-users/?utm_source=openai))

Rychlé shrnutí

  • Útočníci zneužili ve WhatsAppu chybu CVE‑2025‑55177 v kombinaci s chybou Applu CVE‑2025‑43300; šlo o „zero‑click“ útok. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/whatsapp-patches-vulnerability-exploited-in-zero-day-attacks/?utm_source=openai), [securityweek.com](https://www.securityweek.com/whatsapp-zero-day-exploited-in-attacks-targeting-apple-users/?utm_source=openai))
  • Meta vydala opravy pro WhatsApp na iOS a macOS; minimální bezpečné verze jsou 2.25.21.73 (iOS) a 2.25.21.78 (macOS). ([thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))
  • Zasažených je podle firmy méně než 200, ale dopady jsou vážné a míří na vysoce rizikové profese. ([reuters.com](https://www.reuters.com/sustainability/boards-policy-regulation/whatsapp-finds-new-hacking-campaign-targeting-fewer-than-200-people-2025-08-29/?utm_source=openai))
  • Na Slovensku navíc běží kampaně zneužívající spárování přes QR a „hlasování“ – odpojte neznámá zařízení a varujte kontakty. ([sk-cert.sk](https://www.sk-cert.sk/sk/nova-vlna-podvodnych-kampani/index.html?utm_source=openai), [spravy.pravda.sk](https://spravy.pravda.sk/domace/clanok/748381-nbu-upozornuje-na-siriace-sa-podvody-na-slovensku-aktualne-dominuju-dva-druhy/?utm_source=openai))
  • Okamžitě aktualizujte, zvažte tovární reset při podezření na kompromitaci a chraňte zálohy i účty pomocí 2FA. ([thehackernews.com](https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html?utm_source=openai))

Závěr

Rok 2025 potvrzuje, že i nejpoužívanější komunikátor může být terčem extrémně sofistikovaných útoků – a že odkládání aktualizací je hazard s vlastním soukromím i pracovními daty. Na rozdíl od jiných kampaní není tentokrát nutné klikat na podezřelé odkazy; stačí neaktuální aplikace. Proto dnes neřešte, zda se útok týká „jen vybraných“. Zkontrolujte verze, odpojte cizí relace a naučte se bezpečnostní návyky. Jen tak snížíte riziko, že se další zpráva ve vaší schránce nestane vstupenkou do vašeho telefonu.

Štítky:
Sdílej tento článek

Mohlo by se vám také líbit

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den
Aktuality a Zprávy

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den

Lukáš Neudert
Lukáš Neudert
Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní
Aktuality a Zprávy

Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní

Lukáš Neudert
Lukáš Neudert
Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti
Aktuality a Zprávy

Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti

Lukáš Neudert
Lukáš Neudert
Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data
Aktuality a Zprávy

Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data

Lukáš Neudert
Lukáš Neudert