Google розкрила небезпечну вразливість у WhatsApp для Android

Команда Google Project Zero оприлюднила дані про вразливість у версії WhatsApp для Android після того, як розробники не усунули проблему в межах стандартного 90-денного терміну. За інформацією дослідників, баг може дозволити атакувати користувачів без їхньої активної участі, використовуючи механізм автоматичного завантаження медіафайлів у групових чатах.

Зловмисник здатен додати жертву до групи разом із її контактом, призначити його адміністратором і надсилати шкідливий контент, який зберігається в системній базі MediaStore та може бути використаний для віддаленої експлуатації.

Водночас реалізація атаки потребує знання номера телефону жертви та її контактів, а сам файл має бути технічно складним для виконання коду після збереження, тому ризики значно знижуються, якщо користувач вимкнув автоматичне завантаження медіа або активував розширені налаштування конфіденційності чатів. Google Project Zero повідомила WhatsApp про проблему ще 1 вересня 2025 року та надала 90 днів на випуск патча, а 4 грудня було підтверджено лише часткове серверне виправлення без повного усунення вразливості.

Зазначається, що проблема стосується виключно Android-версії застосунку, а експерти радять користувачам увімкнути розширену конфіденційність у групах і повністю відключити автоматичне завантаження медіафайлів.

Источник: itechua.com