Команда Google Project Zero раскрыла сведения об уязвимости в версии WhatsApp (владелец компания Meta признана в России экстремистской и запрещена) для Android после того, как разработчики не устранили проблему в установленный 90-дневный срок. Обнаруженный баг потенциально позволяет атаковать пользователей без их активного участия, говорится на сайте исследователей.
По словам Брендона Тишки из Google Project Zero, злоумышленник, создавший групповой чат в WhatsApp, может добавить в него жертву и один из ее контактов, назначить этот контакт администратором и отправлять вредоносный медиаконтент. Такие файлы автоматически загружаются на устройство и сохраняются в системной базе MediaStore. В случае успешного выхода за пределы этой среды медиаданные могут быть использованы для эксплуатации уязвимости и удаленной атаки без действий со стороны пользователя.
Эксплуатация уязвимости осложняется рядом условий. Для атаки требуется знание или угадывание номера телефона жертвы и ее контактных данных, а вредоносный файл должен быть технически сложным, чтобы выполнять код после сохранения в MediaStore. Кроме того, риск существенно снижается, если пользователь отключил автоматическую загрузку медиафайлов или активировал расширенные настройки конфиденциальности чатов.
Google Project Zero предупредил WhatsApp о проблеме еще 1 сентября 2025 года, предоставив стандартное окно в 90 дней для выпуска патча. 4 декабря было подтверждено наличие частичного серверного исправления, однако полноценное устранение уязвимости до сих пор не выпущено. С момента этого уведомления обновлений по статусу исправления не публиковалось.
Отмечается, что уязвимость затрагивает исключительно WhatsApp для Android. Эксперты рекомендуют пользователям включить расширенную конфиденциальность чатов в настройках конкретных групп, а также полностью отключить автоматическую загрузку медиафайлов в разделе «Хранилище и данные».
Ранее в Госдуме назвали бессмысленными спекуляции о блокировке Telegram.