В Google обнаружили в WhatsApp серьёзную уязвимость безопасности

Команда Google Project Zero обнародовала информацию об уязвимости в WhatsApp для Android после того, как компания не смогла исправить её в течение 90 дней. Баг позволяет злоумышленнику, создавшему группу в мессенджере, добавить в неё свою потенциальную жертву и её контакт.

Брендон Тишка из команды Google Project Zero рассказал, что злоумышленник может назначить контакт жертвы администратором группы и отправлять вредоносный медиаконтент, который автоматически загрузится на целевое устройство без какого-либо взаимодействия со стороны человека. Этот медиафайл будет загружен в базу данных MediaStore, и если он сможет выйти за пределы этой среды, то будет использоваться как эксплойт, позволяющий атаковать жертв без какого-либо взаимодействия.

Однако есть и нюансы. Для использования уязвимости необходимо знать или угадывать номера телефонов жертвы и их контактные данные, а для успешной эксплуатации вредоносный медиафайл должен быть достаточно сложным, чтобы после попадания в базу данных выполнять вредоносные действия. Наконец, если юзер включит расширенные настройки конфиденциальности чата в WhatsApp или отключит автоматическую загрузку медиафайлов, то они не будут загружаться автоматически.

Google Project Zero сообщил об этой уязвимости в частном порядке 1 сентября 2025 года, предоставив стандартные 90 дней на исправление проблемы. 4 декабря Тишка подтвердил, что вышло частичное серверное исправление для устранения этой уязвимости, но полное исправление всё ещё находится в разработке. С тех пор не было опубликовано никаких апдейтов. 

В заявке Тишки упоминалась только уязвимость WhatsApp для Android. Тем, кто использует эту версию, рекомендуют включить расширенную конфиденциальность чата, перейдя в него, нажав на значок с тремя