Эксперты Google Project Zero рассказали об уязвимости в WhatsApp для Android после того, как команда мессенджера не смогла исправить её в течение 90 дней (хотя процесс идёт). Баг позволяет создавшему групповой чат добавить в него свою потенциальную жертву и её контакт.
Злоумышленник в этом случае назначает контакт жертвы администратором группы и отправляет вредоносный медиаконтент, автоматически загружающийся на целевое устройство. Такой файл попадает в базу данных MediaStore, и если он сможет выйти за пределы среды, то станет эксплойтом, позволяющим атаковать пользователей без какого-либо взаимодействия с их стороны.
Однако для успеха операции хакеру нужно знать или угадать номера жертв и их контактные данные, а сам медиафайл должен быть достаточно сложным, чтобы иметь вредоносный функционал. Плюс, пользователь всегда может деактивировать автозагрузку в расширенных настройках конфиденциальности WhatsApp-чата.
Также на неделе своё мнение касательно американского мессенджера выразил Павел Дуров. «Нужно быть полным идиотом, чтобы поверить в безопасность WhatsApp в 2026 году. Проанализировав, как WhatsApp реализует своё „шифрование“, мы обнаружили множество векторов атак», — заявил он, комментируя ситуацию с коллективным иском, поданным к разработчикам WhatsApp (пользователи обвиняют компанию в ложных заявлениях о высоком уровне защищённости сервиса).
