*WhatsApp, безусловно, является крупнейшей платформой для онлайн-коммуникаций. Ее надежный набор функций и интерфейс без рекламы делают ее идеальным выбором не только для личного общения, но и для рабочей переписки в некоторых организациях. Это также означает, что она представляет собой привлекательный вектор атаки для злоумышленников. Команда Google Project Zero обнародовала уязвимость в *WhatsApp для Android после того, как *Meta не смогла должным образом устранить ее в установленные 90 дней.
В отчете в своем публичном трекере задач Брендан Тишка из команды Google Project Zero рассказал, как злоумышленник, создающий группу в *WhatsApp, может добавить туда потенциальную жертву и ее контакт. Затем он может сделать контакт жертвы администратором группы и отправить вредоносный медиафайл, который будет автоматически загружен на устройство жертвы без каких-либо ее действий. Этот медиафайл загрузится в базу данных MediaStore, и если у него есть потенциал для выхода за пределы этой среды, это, по сути, станет эксплойтом, способным нанести вред жертвам бесконтактным способом.
Хотя все это звучит довольно пугающе, стоит помнить о некоторых оговорках. Эксплойт требует знания или угадывания номеров телефонов жертвы и ее контакта. Хотя получить эту информацию может быть не слишком сложно в наши дни, успешная эксплуатация также потребует, чтобы вредоносный медиафайл был достаточно изощренным, чтобы выполнять вредоносные действия после попадания в базу данных. Наконец, если вы активируете расширенную конфиденциальность чатов в *WhatsApp или отключите автоматическую загрузку медиафайлов, любой вредоносный файл не будет загружен автоматически, что обеспечит вам безопасность по умолчанию.
Google Project Zero конфиденциально сообщила об этой уязвимости *Meta 1 сентября 2025 года, предоставив компании стандартные 90 дней на устранение проблемы до ее обнародования. После того как *Meta не выпустила исправление к 30 ноября 2025 года, уязвимость стала публичной. 4 декабря Тишка подтвердил, что, хотя *Meta выпустила частичное серверное исправление для закрытия этой бреши в безопасности, полная доработка все еще находится в процессе. С тех пор тикет не обновлялся новой информацией, что может свидетельствовать о том, что этот баг все еще открыт.
В тикете Тишки говорилось только об уязвимости *WhatsApp для Android, поэтому можно предположить, что другие платформы должны быть в безопасности. Если вы пользуетесь Android, включите расширенную конфиденциальность чатов в групповом чате, перейдя в него, нажав на значок с тремя точками, выбрав Информация о группе и активировав Расширенная конфиденциальность чатов. Однако вы все равно можете быть уязвимы в сценариях, когда вас уже добавили в группу без вашего ведома, и атака уже идет. Поэтому также лучше отключить автоматическую загрузку медиафайлов, перейдя в Настройки > Память и данные > Автоматическая загрузка медиа. Мы обратились в Google Project Zero и *Meta за дополнительными подробностями по этому вопросу.
Следует помнить, что в прошлом году *Meta также признавала наличие уязвимости *WhatsApp, связанной с вложениями, так что очевидно, что это привлекательная поверхность для атак злоумышленников.
*Facebook, *Instagram и *WhatsApp принадлежат компании Meta Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
