Een kwetsbaarheid in FreeType die in maart door Meta werd geopenbaard is gebruikt bij aanvallen met de Graphite-spyware van Paragon Solutions. Dat heeft WhatsApp tegenover SecurityWeek laten weten. FreeType is een gratis library voor het weergeven van fonts waar browsers gebruik van maken. Meta gaf nauwelijks details in het beveiligingsbulletin over de kwetsbaarheid (CVE-2025-27363), behalve dat er actief misbruik van werd gemaakt.

In mei werd de FreeType-update door Google aan Android toegevoegd. Wederom werden er geen details gegeven, behalve dat er volgens Google "beperkt en gericht" misbruik van CVE-2025-27363 werd gemaakt. In maart van dit jaar kwam The Citizen Lab met een rapport over de Graphite-spyware van Paragon Solutions. De spyware heeft veel overeenkomsten met de beruchte Pegasus-spyware, ontwikkeld door de NSO Group. Een verschil met Pegasus, dat voornamelijk informatie van de telefoon zelf steelt, is dat Graphite zich richt op back-ups van de telefoon die in de cloud staan, alsmede gevoelige data en toegang tot chatapps waar het slachtoffer gebruik van maakt. Dit zou het lastiger moeten maken om de diefstal van gegevens te ontdekken.

"We deelden onze analyse over de infrastructuur van Paragon met Meta, dat ons vertelde dat de details cruciaal waren in hun lopende onderzoek naar Paragon. WhatsApp ontdekte en verhielp een actieve Paragon zero-click exploit, en waarschuwde later negentig personen waarvan het denkt dat die doelwit waren", aldus The Citizen Lab. De organisatie is een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten.

The Citizen Lab onderzocht Androidtelefoons van personen die het bericht van WhatsApp hadden ontvangen en ontdekte daarop sporen van de Graphite-spyware. In het rapport geeft The Citizen Lab geen CVE-nummer over door Paragon gebruikte kwetsbaarheden. WhatsApp laat weten dat het FreeType-lek werd ontdekt bij een onderzoek naar andere mogelijke kanalen die spywareleveranciers, buiten WhatsApp om, zouden kunnen gebruiken. Verdere details over de aanvallen waarbij het FreeType-lek werd gebruikt zijn niet door de chatdienst gegeven. Een andere FreeType-kwetsbaarheid is in het verleden gebruikt voor het aanvallen van gebruikers van Google Chrome.