Фахівці з безпеки Google Project Zero оприлюднили деталі про небезпечну вразливість у мобільній версії WhatsApp для Android. Вразливість залишалася невиправленою понад 90 днів після звернення до розробників, що підвищило ризики для мільйонів користувачів месенджера.
Про це розповідає ProIT
Механізм атаки: як працює вразливість
Як повідомляють експерти, уразливість дозволяє зловмисникам атакувати користувача без його активної участі, використовуючи функцію автоматичного завантаження медіафайлів у групових чатах. Зловмисник може додати жертву та її контакт у спільну групу, призначити цього контакта адміністратором та надсилати шкідливий контент. Такий файл потрапляє до системної бази MediaStore, що відкриває шлях для дистанційної експлуатації пристрою.
“Баг може дозволити атакувати користувачів без їхньої активної участі, використовуючи механізм автоматичного завантаження медіафайлів у групових чатах”.
Ризики та рекомендації для користувачів
Для реалізації атаки зловмиснику необхідно знати не лише номер телефону жертви, а й контакти цієї особи. Крім того, файл має бути технічно складним, щоб запустити шкідливий код після збереження. Ризик значно зменшується, якщо користувачі вимикають автоматичне завантаження медіа або активують розширені параметри конфіденційності у чатах.
Google Project Zero звернулася до WhatsApp з інформацією про уразливість ще 1 вересня 2025 року, надавши стандартний 90-денний термін на виправлення. 4 грудня було підтверджене лише часткове серверне рішення, повна ліквідація вразливості досі не здійснена.
Проблема стосується виключно Android-версії WhatsApp. Експерти рекомендують користувачам увімкнути розширені налаштування конфіденційності у групах та повністю відключити автоматичне завантаження медіафайлів, щоб мінімізувати ризики.