Исследователи Google Project Zero описали уязвимость в WhatsApp на Android, которая превращает обычную групповую переписку в канал тихой доставки медиафайлов на устройство. Сценарий выглядит буднично: вас добавляют в новый групповой чат и туда отправляют файл. Дальше WhatsApp сам, в фоне, скачивает медиа на телефон. Без кликов, без открытия чата, без просмотра вложения. Project Zero называет это обходом контактного барьера (contact gating bypass).
У WhatsApp есть логика, которая делает общение удобнее. Если вы в чате, медиафайлы загружаются автоматически, чтобы не ждать загрузку вручную. Проблема в том, что в описанном кейсе это срабатывает даже тогда, когда человек не открывал группу и не взаимодействовал с контентом. Файл оказывается на устройстве просто потому, что вы были добавлены в группу, а кто-то туда что-то отправил.
Сам по себе факт загрузки еще не означает взлом. Но это удобная ступень для дальнейших атак. Если у злоумышленника есть медиафайл, который эксплуатирует баг в обработчике формата, он получает возможность доставить его на телефон без участия владельца. Именно поэтому уязвимость относится к категории zero click: жертва ничего не нажимает, не подтверждает и может даже не знать, что что-то произошло.
Для атаки нужно немного. Злоумышленнику достаточно знать или угадать хотя бы один контакт жертвы, чтобы иметь шанс добавить ее в группу. Это делает сценарий скорее целевым, чем массовым, но технически он несложный, особенно если у атакующего есть список людей, которых он хочет проверить или атаковать.
Project Zero приводит хронологию, которая выглядит некомфортно для Meta. Исследователи обнаружили проблему 1 октября 2024 года и сообщили о ней в Meta. Дальше пошел стандартный для ответственного раскрытия срок в 90 дней, который заканчивался 30 января 2025 года. Однако полностью закрыть проблему в этот период Meta не смогла.
11 ноября 2025 компания выпустила серверный патч, то есть изменение на стороне сервиса. По оценке Google, он исправил ситуацию лишь частично. В итоге прошло почти полтора года с момента первого отчета, а проблема, по словам Project Zero, остается не полностью закрытой. Для приложений масштаба WhatsApp это неприятная динамика: продукт установлен примерно на двух миллиардах устройств, и даже нишевый сценарий превращается в большую зону риска.
Google дает здесь практичные рекомендации, которые не требуют специальных знаний. Первое и самое действенное это отключить автоматическую загрузку медиа. В WhatsApp на Android это делается через «Настройки», затем «Хранилище и данные», затем «Автозагрузка мультимедиа». Там нужно отключить загрузку фото, аудио, видео и документов отдельно для мобильной сети, Wi-Fi и роуминга. Это не лечит саму уязвимость, но убирает главный механизм, который делает атаку бесшумной: файл больше не будет автоматически оказываться на устройстве.
Вторая мера это включить режим повышенной приватности WhatsApp. В этом режиме медиа по умолчанию не загружаются автоматически, и это дает дополнительный барьер против сценария zero click.
Третья мера касается групп. В разделе «Приватность» есть пункт «Группы». Его можно переключить с «Для всех» на «Мои контакты» и исключить из списка номера, которым вы не доверяете. Это усложняет логистику атаки, потому что атакующему нужно будет сначала оказаться в круге контактов или обойти ограничения.
Важно отдельно сказать: обновления все равно нужно ставить. Даже если часть фикса была серверной, клиентские изменения тоже имеют значение, а WhatsApp регулярно закрывает уязвимости в обработке контента.
На фоне технической истории растет и юридическое давление на Meta. В тексте упоминается международный иск, где истцы утверждают, что несмотря на заявления о сквозном шифровании, компания якобы может хранить, анализировать и получать доступ к приватным сообщениям пользователей. Это отдельный спор, но он усиливает общий скепсис вокруг того, как платформа обращается с приватностью.
Уязвимость сама по себе не означает, что любой пользователь будет взломан. Но она показывает, как удобство фоновой обработки контента может превращаться в уязвимость, если цепочка контроля не закрыта до конца. В таких ситуациях настройка автозагрузки медиа перестает быть вопросом экономии трафика и становится базовой гигиеной безопасности. Особенно для тех, кто использует WhatsApp в чувствительных контекстах и получает приглашения в группы от людей, которых не знает.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
