ФБР предупреждает пользователей iPhone прекратить отправку сообщений из iMessage: зашифрованные сообщения скомпрометированы

Власти США совместно с ФБР предупредили пользователей iPhone об атаках шпионского ПО на мессенджер iMessage. Агентство по кибербезопасности и безопасности инфраструктуры (CISA) рекомендовало пользователям iPhone и Android «использовать только сквозное шифрование сообщений».

Агентство по безопасности и информации США (CISA) и ФБР опубликовали предупреждение в ответ на несколько крупных хакерских операций на платформах социальных сетей WhatsApp и Signal, в результате которых были взломаны личные сообщения и телефонные звонки нескольких американцев.

Однако в предупреждении CISA упоминается система обмена сообщениями Apple iMessage, клиент SMS по умолчанию для пользователей iPhone. Сам iMessage использует сквозное шифрование между устройствами Apple, но текстовые сообщения, отправляемые на телефоны Android, передаются как стандартные SMS, которые не полностью зашифрованы.

Текстовые сообщения iMessage на Android не защищены шифрованием и уязвимы для кражи данных

Пользователи iPhone в США, предположительно, предпочитают iMessage другим приложениям для обмена зашифрованными сообщениями, таким как WhatsApp. Согласно отчёту, опубликованному в середине 2024 года, более половины владельцев смартфонов в США используют iPhone, и 26% из них используют iMessage. Генеральный директор Meta Марк Цукерберг считает iMessage своим главным конкурентом на рынке США.

В телефонах Android используется протокол RCS, который Google протестировала на предмет сквозного шифрования, но Apple не подтвердила, когда она реализует аналогичную защиту. 

iMessage — это фронтенд-платформа и единственный SMS-клиент на iPhone, который Министерство юстиции яростно раскритиковало в своём докладе об экосистеме Apple, называемой «замкнутым садом». По мнению Министерства юстиции, отсутствие альтернатив означает, что все владельцы iPhone окажутся под угрозой в случае атаки на систему обмена сообщениями.

«Это наш главный совет», — заявила CISA, несмотря на новые атаки шпионского ПО на Signal и WhatsApp. «Не используйте текстовые сообщения между iPhone и Android. Они не полностью зашифрованы».

В прошлом году ФБР и CISA выдали аналогичное уведомление из-за Salt Typhoon — кибероперации, проведенной китайским государством и позволившей успешно получить доступ к частным разговорам и текстовым сообщениям. 

Как сообщает Washington Post, председатель сенатского комитета по разведке сенатор Марк Уорнер назвал утечку «крупнейшим взломом телекоммуникационных сетей в истории США».

«Мы — предмет зависти всего мира в сфере телекоммуникаций. Я не хочу тормозить эти инновации. Я не хочу вводить какие-то новые, жёсткие правила. Речь должна идти только о безопасности», — заявил сенатор изданию WP.

ФБР и другие сотрудники служб кибербезопасности призвали американцев отказаться от стандартных текстовых сообщений и перейти на Signal или WhatsApp, чтобы защитить свои коммуникации от иностранных хакеров. 

«Наше предложение, о котором мы уже говорили внутри компании, не ново: шифрование — ваш друг, будь то текстовые сообщения или возможность использовать зашифрованную голосовую связь. Даже если злоумышленник сможет перехватить данные, если они зашифрованы, их невозможно будет прочитать», — заявил Джефф Грин, помощник исполнительного директора по кибербезопасности CISA.

Устройства WhatsApp и Android также подвержены уязвимостям

Помимо проблем Apple, Cryptopolitan также освещал несколько уязвимостей в WhatsApp и Android, которые были включены в отчет CISA в понедельник. В начале ноября исследователи из Венского университета обнаружили недостаток в функции регистрации WhatsApp, который позволил им получить доступ к 30 миллионам номеров американских пользователей всего за 30 минут. 

В ходе исследования они получили доступ к данным 3,5 млрд пользователей по всему миру. Примерно у 57% из них были общедоступные фотографии профилей, а исследователи могли просматривать текст профилей 29% аккаунтов.

Спустя всего несколько дней после того, как учреждение поделилось своими выводами, компания по кибербезопасности Unit 42 сообщила о шпионской кампании на устройствах Samsung Galaxy под названием LANDFALL, которая использует уязвимость нулевого дня в библиотеке обработки изображений Samsung libimagecodec.quram.so (CVE-2025-21042) для проникновения в устройства через изображения, отправленные через WhatsApp.

По данным Подразделения 42, вредоносное ПО активно с середины 2024 года и позволяет злоумышленникам осуществлять полное наблюдение за устройством без взаимодействия с пользователем. Вредоносное ПО для Android также было обнаружено в образцах изображений iOS в файлах формата Digital Negative (DNG). 

Несколько пользователей, упомянутых в результатах исследования Unit42, сообщили, что видели имена файлов, помеченные как загрузки WhatsApp, например «IMG-20240723-WA0000.jpg», которые были tracв таких местах, как Марокко, Иран, Ирак и Турция, в период с июля 2024 года по начало 2025 года.

Другая уязвимость, CVE-2025-12725, ошибка записи за пределами выделенной памяти в компоненте обработки графики Google Chrome WebGPU, также эксплуатировалась совместно с LANDFALL.