Пользователей WhatsApp предупредили об опасной функции мессенджера

Эксперты по кибербезопасности выявили опасную уязвимость в Android-версии мессенджера WhatsApp, которая потенциально позволяет атаковать пользователей без их активного участия. Проблема была обнаружена специалистами исследовательского подразделения Google Project Zero и обнародована после того, как разработчики не устранили ее в установленный срок, сообщает Lada.kz со ссылкой на Газета.Ru.

По словам аналитиков, выявленный баг может быть использован для скрытого внедрения вредоносного контента через групповые чаты, что создает дополнительные риски для владельцев устройств на базе Android.

В чем суть уязвимости

Согласно данным Google Project Zero, уязвимость связана с механизмом автоматической обработки медиаконтента в WhatsApp. В определенных сценариях злоумышленник может инициировать атаку, не требующую каких-либо действий со стороны жертвы — например, без открытия файлов или перехода по ссылкам.

Исследователи отмечают, что при удачном стечении обстоятельств вредоносные медиаданные могут быть использованы для выхода за пределы стандартной среды хранения файлов и последующей эксплуатации уязвимости.

Как может выглядеть сценарий атаки

Один из исследователей Google Project Zero Брендон Тишки описал потенциальный механизм злоупотребления следующим образом:

  • злоумышленник создает групповой чат в WhatsApp;

  • добавляет туда предполагаемую жертву и один из ее контактов;

  • назначает добавленный контакт администратором группы;

  • после этого в чат отправляется специально подготовленный медиаконтент.

Из-за особенностей работы приложения такие файлы автоматически загружаются на устройство и сохраняются в системной базе MediaStore. Если вредоносный файл сконструирован достаточно сложно, он может быть использован для выполнения кода после сохранения, что открывает путь к удаленной атаке.

Почему эксплуатация считается сложной

Эксперты подчеркивают, что уязвимость не является тривиальной в использовании и требует выполнения сразу нескольких условий:

  • атакующему необходимо знать или угадать номер телефона жертвы;

  • требуется информация о ее контактных данных;

  • вредоносный медиаконтент должен быть технически сложным и адаптированным под конкретный механизм обработки файлов;

  • атака возможна только при сохранении стандартных настроек автоматической загрузки медиа.

При этом специалисты признают, что в случае успешной реализации сценарий представляет серьезную угрозу, так как пользователь фактически не вовлечен в процесс атаки.

История раскрытия проблемы

Google Project Zero уведомил разработчиков WhatsApp о найденной уязвимости еще 1 сентября 2025 года, предоставив стандартный срок в 90 дней для выпуска исправления.

По состоянию на 4 декабря было подтверждено наличие частичного серверного решения, однако полноценный патч, полностью закрывающий проблему, так и не был выпущен.

После истечения установленного срока исследователи приняли решение опубликовать технические детали уязвимости в соответствии с принятой политикой ответственного раскрытия.

Какие версии приложения под угрозой

Отмечается, что выявленная уязвимость затрагивает исключительно WhatsApp для Android. Версии мессенджера для других операционных систем, по имеющимся данным, не подвержены данной проблеме.

Что рекомендуют специалисты пользователям

До выхода полноценного обновления эксперты советуют принять дополнительные меры предосторожности:

  • включить расширенные настройки конфиденциальности чатов, особенно в группах;

  • полностью отключить автоматическую загрузку медиафайлов в разделе «Хранилище и данные»;

  • внимательно относиться к добавлению в новые групповые чаты, даже если в них присутствуют знакомые контакты.

По мнению специалистов, такие меры существенно снижают риск эксплуатации уязвимости и позволяют минимизировать потенциальный ущерб.

Просмотреть полную версию на сайте