Специалисты по безопасности Google Project Zero обнародовали детали о опасной уязвимости в мобильной версии WhatsApp для Android. Уязвимость оставалась неустраненной более 90 дней после обращения к разработчикам, что увеличило риски для миллионов пользователей мессенджера.
Об этом сообщает ProIT
Механизм атаки: как работает уязвимость
Как сообщают эксперты, уязвимость позволяет злоумышленникам атаковать пользователя без его активного участия, используя функцию автоматической загрузки медиафайлов в групповых чатах. Злоумышленник может добавить жертву и ее контакт в общую группу, назначить этого контакта администратором и отправлять вредоносный контент. Такой файл попадает в системную базу MediaStore, что открывает путь для дистанционной эксплуатации устройства.
«Баг может позволить атаковать пользователей без их активного участия, используя механизм автоматической загрузки медиафайлов в групповых чатах».
Риски и рекомендации для пользователей
Для реализации атаки злоумышленнику необходимо знать не только номер телефона жертвы, но и контакты этого человека. Кроме того, файл должен быть технически сложным, чтобы запустить вредоносный код после сохранения. Риск значительно уменьшается, если пользователи отключают автоматическую загрузку медиа или активируют расширенные параметры конфиденциальности в чатах.
Google Project Zero обратилась к WhatsApp с информацией об уязвимости еще 1 сентября 2025 года, предоставив стандартный 90-дневный срок на исправление. 4 декабря было подтверждено лишь частичное серверное решение, полная ликвидация уязвимости до сих пор не осуществлена.
Проблема касается исключительно Android-версии WhatsApp. Эксперты рекомендуют пользователям включить расширенные настройки конфиденциальности в группах и полностью отключить автоматическую загрузку медиафайлов, чтобы минимизировать риски.