Исследователи команды Google Project Zero обнародовали информацию об уязвимости в мессенджере WhatsApp для операционной системы Android после того, как разработчик, компания Meta, не устранил её в течение стандартного 90-дневного срока. Баг позволяет злоумышленнику, создавшему групповой чат, добавить в него свою потенциальную жертву и её контакт, назначить этот контакт администратором и отправить вредоносный медиафайл.

Специально сформированный медиафайл будет автоматически загружен на устройство жертвы без какого-либо взаимодействия с её стороны и помещён в базу данных MediaStore. Если эксплойту удастся выйти за пределы этой среды, он может быть использован для проведения атаки. Для успешной эксплуатации уязвимости злоумышленнику необходимо знать номера телефонов жертвы и её контакта, а вредоносный медиафайл должен обладать достаточной сложностью для выполнения произвольного кода после загрузки.

Защититься от данной атаки можно, активировав расширенные настройки конфиденциальности чата в WhatsApp или отключив функцию автоматической загрузки медиафайлов. В первом случае необходимо в групповом чате через меню («Информация о группе») включить соответствующую опцию. Во втором — в настройках приложения перейти в раздел «Хранилище и данные» и отключить «Автоматическую загрузку медиафайлов». Однако пользователи остаются уязвимыми, если их уже добавили в группу без ведома, и атака началась до изменения настроек.

Google Project Zero сообщил об уязвимости разработчикам WhatsApp в частном порядке 1 сентября 2025 года. К 4 декабря было выпущено частичное исправление на стороне серверов, но полное устранение проблемы всё ещё находится в разработке. С тех пор обновлённой информации о статусе фикса не публиковалось.

Накануне основатель Telegram Павел Дуров вновь выступил с критикой безопасности WhatsApp, заявив, что в 2026 году нельзя доверять защищённости этого мессенджера, поскольку анализ реализации его шифрования выявил множество потенциальных векторов атак.