Google публично раскрыла уязвимость в *WhatsApp — *Meta не уложилась в срок с патчем
Кто-то пропустил все дедлайны
Команда Google Project Zero публично раскрыла уязвимость в Android-версии *WhatsApp после того, как *Meta не уложилась в стандартный 90-дневный срок на выпуск исправления.
Речь идет о баге, который позволяет атаковать пользователя без его участия — достаточно добавить его в специально подготовленный групповой чат.
Уязвимость затрагивает механизм автоматической загрузки медиафайлов в *WhatsApp-группах. В худшем сценарии злоумышленнику не нужно отправлять ссылки или заставлять жертву что-то открывать: вредоносный файл загружается на устройство сам.
Как работает атака
По описанию исследователя Project Zero Брендона Тишки, атака начинается с создания группы *WhatsApp.
В нее добавляют жертву и одного из ее контактов, после чего контакт назначают администратором. Затем в чат отправляется специально сформированный медиафайл.
Если у пользователя включена автозагрузка медиа, файл автоматически сохраняется в системную базу MediaStore. Дальше все зависит от содержимого файла: при наличии дополнительного эксплойта он может попытаться выйти за пределы песочницы и выполнить произвольный код.
Ключевая особенность уязвимости — отсутствие взаимодействия с пользователем. Жертве не нужно нажимать на вложение или даже открывать чат.
Почему Google раскрыла баг публично
Project Zero уведомила *Meta о проблеме 1 сентября 2025 года. По правилам программы, у компании было 90 дней на выпуск исправления. К 30 ноября полноценного патча не появилось, и Google опубликовала детали уязвимости.
Позже *Meta внедрила частичное серверное ограничение, которое снижает риск эксплуатации, но не устраняет саму проблему. Полноценного клиентского патча на момент публикации все еще нет.
Именно из-за этого Google решила не продлевать дедлайн и раскрыть информацию публично.
Кто под угрозой и что делать пользователям
Уязвимость касается только *WhatsApp на Android. О версиях для iOS и других платформ Project Zero не сообщает.
Чтобы снизить риск, Google рекомендует:
- включить расширенную приватность чатов в группах;
- отключить автоматическую загрузку медиафайлов;
- внимательнее относиться к неожиданным добавлениям в групповые чаты.
При этом исследователи отмечают, что в некоторых сценариях пользователь может быть добавлен в группу и атакован еще до изменения настроек.
*Компания Meta и ее продукты признаны экстремистскими, их деятельность запрещена на территории РФ
