Команда Google Project Zero обнародовала информацию об уязвимости в WhatsApp для Android после того, как компания не смогла исправить её в течение 90 дней. Баг позволяет злоумышленнику, создавшему группу в мессенджере, добавить в неё свою потенциальную жертву и её контакт.

Брендон Тишка из команды Google Project Zero рассказал, что злоумышленник может назначить контакт жертвы администратором группы и отправлять вредоносный медиаконтент, который автоматически загрузится на целевое устройство без какого-либо взаимодействия со стороны человека. Этот медиафайл будет загружен в базу данных MediaStore, и если он сможет выйти за пределы этой среды, то будет использоваться как эксплойт, позволяющий атаковать жертв без какого-либо взаимодействия.

Однако есть и нюансы. Для использования уязвимости необходимо знать или угадывать номера телефонов жертвы и их контактные данные, а для успешной эксплуатации вредоносный медиафайл должен быть достаточно сложным, чтобы после попадания в базу данных выполнять вредоносные действия. Наконец, если юзер включит расширенные настройки конфиденциальности чата в WhatsApp или отключит автоматическую загрузку медиафайлов, то они не будут загружаться автоматически.

Google Project Zero сообщил об этой уязвимости в частном порядке 1 сентября 2025 года, предоставив стандартные 90 дней на исправление проблемы. 4 декабря Тишка подтвердил, что вышло частичное серверное исправление для устранения этой уязвимости, но полное исправление всё ещё находится в разработке. С тех пор не было опубликовано никаких апдейтов. 

В заявке Тишки упоминалась только уязвимость WhatsApp для Android. Тем, кто использует эту версию, рекомендуют включить расширенную конфиденциальность чата, перейдя в него, нажав на значок с тремя точками, выбрав «Информация о группе» и активировав соответствующую опцию. Однако пользователи могут быть уязвимы в ситуациях, когда их уже добавили в группу без ведома, и атака началась. Поэтому также лучше отключить автоматическую загрузку медиа, перейдя в «Настройки» > «Хранилище и данные» > «Автоматическая загрузка медиафайлов». 

Накануне Павел Дуров снова выступил с критикой в отношении WhatsApp, заявив, что нужно быть полным идиотом, чтобы верить в безопасность этого мессенджера в 2026 году. «Проанализировав, как WhatsApp реализует свое "шифрование“, мы обнаружили множество векторов атак», — пояснил Дуров.