- Команда Google Project Zero выявила серьёзную уязвимость в WhatsApp для Android, позволяющую злоумышленникам добавлять жертв в группы и автоматически загружать вредоносные медиафайлы.
- Уязвимость требует знания номеров телефонов жертв и их контактов, а также сложных вредоносных файлов; пользователи могут снизить риск, отключив автозагрузку медиа и включив расширенные настройки конфиденциальности.
- WhatsApp не исправил проблему в установленные 90 дней, выпустив лишь частичное серверное обновление, полное исправление всё ещё в разработке.
Эксперты из Google Project Zero сообщили о критической уязвимости в мессенджере WhatsApp для Android, обнаруженной после тщательного анализа безопасности приложения. Согласно докладу, представителю команды — Брендону Тишке — злоумышленник, обладающий номером жертвы и её контактами, может создать группу в WhatsApp и добавить в неё пользователя, назначив его администратором. После этого на устройство жертвы может быть автоматически загружен вредоносный медиафайл без какого-либо взаимодействия с пользователем.
Загружающийся файл помещается в базу данных MediaStore устройства, что создаёт условия для запуска эксплойта, способного нанести вред без ведома пострадавшего. Однако для успешной атаки необходимо, чтобы вредоносный медиафайл был достаточно сложным и мог выйти за пределы защищённой среды.
Для снижения риска специалисты рекомендуют пользователям WhatsApp на Android активировать расширенные настройки конфиденциальности в чатах и отключить автоматическую загрузку медиафайлов. Это можно сделать, перейдя в настройки мессенджера: в разделе “Информация о группе” включить соответствующую функцию, а в “Хранилище и данные” отключить авто-загрузку файлов.
Сообщение о баге было направлено WhatsApp 1 сентября 2025 года с традиционным сроком в 90 дней для исправления, однако компания выпустила только частичное серверное обновление к 4 декабря. Текущее полное исправление ещё находится в разработке, о чем Google Project Zero не сообщал дополнительно.
Инцидент также совпал с очередной критикой WhatsApp со стороны Павла Дурова — основателя Telegram. Он вновь высказался в адрес мессенджера, отметив, что доверять его безопасности в 2026 году «может только полный идиот», ссылаясь на множество выявленных уязвимостей в реализации шифрования.
Данная ситуация подчёркивает важность внимательного отношения к настройкам безопасности в популярных мессенджерах и осознания потенциальных рисков при использовании сервисов с масштабной пользовательской базой.
