Luka bezpieczeństwa w WhatsAppie. Zagrożeni użytkownicy Androida
Google Project Zero opublikował szczegóły luki w zabezpieczeniach WhatsAppa dla Androida. Wcześniej Meta miała okazję załatać ją w wyznaczonym terminie, ale tak się nie stało.
Google Project Zero wykrył i ujawnił lukę w WhatsAppie na Androida, która może pozwolić cyberprzestępcom na zdalne infekowanie urządzenia użytkownika bez jego wiedzy - zwraca uwagę Neowin. Problem dotyczy sytuacji, gdy atakujący tworzy nową grupę WhatsApp, dodaje do niej wybraną ofiarę oraz jej kontakt, a następnie przekazuje temu kontaktowi uprawnienia administratora. Dzięki temu złośliwy plik multimedialny może być wysłany i automatycznie pobrany przez urządzenie ofiary.
Mechanizm ten opiera się na automatycznym pobieraniu mediów w aplikacji i zapisywaniu ich w bazie danych MediaStore. Jeśli zainfekowany plik miałby odpowiednie możliwości, mógłby wykorzystać lukę do przeprowadzenia ataku bez potrzeby aktywności użytkownika. Jednak atakującym uda się zdobyć lub odgadnąć numery telefonów wyznaczonych użytkowników.
Według Google Project Zero, ryzyko wzrasta w przypadku aktywnej funkcji automatycznego pobierania mediów oraz braku zaawansowanych ustawień prywatności czatu w WhatsApp. Eksperci radzą, by użytkownicy na Androidzie włączyli zaawansowaną ochronę w grupach oraz wyłączyli autoodbieranie plików, co stanowi dodatkowy poziom zabezpieczenia.
Meta została poinformowana o podatności 1 września 2025 r. i miała standardowe 90 dni na jej naprawę. Ponieważ do 30 listopada 2025 r. nie pojawiła się pełna poprawka, Project Zero upublicznił szczegóły problemu. 4 grudnia członek zespołu Google potwierdził, że Meta wdrożyła jedynie częściowe rozwiązanie po stronie serwera, natomiast pełna naprawa jest nadal przygotowywana.
Luka dotyczy wyłącznie WhatsAppa na Androida — inne systemy według Project Zero nie wykazują tego zagrożenia. Użytkownicy Androida znajdą funkcję zaawansowanej ochrony czatu w opcjach grupy pod ikoną trzech kropek oraz mogą wyłączyć automatyczne pobieranie przez ustawienia "Pamięć i dane". Dla zabezpieczenia warto zastosować oba środki jednocześnie.
Warto dodać, że to nie pierwszy przypadek ujawnienia w WhatsAppie luk związanych z obsługą załączników. Informacje ze strony Google Project Zero i Meta podkreślają, że komunikatory cieszą się niesłabnącym zainteresowaniem cyberprzestępców, a użytkownicy powinni zachować wzmożoną ostrożność.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
