WhatsApp automatycznie pobiera pliki, które mogą przejąć twój telefon

WhatsApp pozostaje największą platformą komunikacyjną na świecie i dla milionów użytkowników stanowi podstawowe narzędzie codziennego kontaktu. Brak reklam, rozbudowane funkcje oraz powszechna dostępność sprawiły, że aplikacja coraz częściej wykorzystywana jest także w środowiskach zawodowych. Taka skala popularności nie umyka jednak uwadze cyberprzestępców. Zespół Google Project Zero ujawnił właśnie lukę w zabezpieczeniach WhatsApp na Androidzie, która została opublikowana po upływie standardowego okresu ochronnego z powodu braku pełnej poprawki ze strony firmy Meta.

Opis podatności przedstawiony przez Brendona Tiszkę z Google Project Zero pokazuje niepokojący scenariusz. Atakujący zakłada grupę WhatsApp i dodaje do niej zarówno potencjalną ofiarę, jak i jej zapisany kontakt. Następnie manipuluje uprawnieniami, nadając temu kontaktowi rolę administratora grupy. W kolejnym kroku do grupy wysyłane są spreparowane pliki multimedialne, które na urządzeniu z Androidem mogą zostać pobrane automatycznie.

Pliki trafiają do systemowej bazy MediaStore, będącej częścią mechanizmu zarządzania multimediami w Androidzie. Jeśli złośliwy plik zdoła wydostać się z tego środowiska, atak przybiera formę exploitu działającego bez jakiejkolwiek interakcji użytkownika. Taki wektor ataku jest szczególnie groźny w kontekście masowej komunikacji grupowej.

Ograniczenia i warunki skutecznego ataku

Choć opis zagrożenia brzmi alarmująco, eksperci zwracają uwagę na istotne warunki, które muszą zostać spełnione. Atak wymaga znajomości numeru telefonu ofiary oraz jej danych kontaktowych. W realiach współczesnego internetu zdobycie takich informacji bywa stosunkowo proste, jednak sam plik multimedialny musi być technicznie zaawansowany, aby po zapisaniu w systemie mógł wykonać szkodliwe operacje.

Dodatkowym czynnikiem ochronnym są ustawienia prywatności samego WhatsAppa. Włączenie zaawansowanej prywatności czatu lub wyłączenie automatycznego pobierania multimediów skutecznie blokuje automatyczne zapisywanie plików na urządzeniu. W takim scenariuszu exploit traci swoją podstawową przewagę.

90 dni minęło, luka ujawniona

Google Project Zero zgłosił podatność firmie Meta prywatnie 1 września 2025 roku. Zgodnie z obowiązującą procedurą producent otrzymał 90 dni na przygotowanie i wdrożenie poprawki. Po upływie tego terminu, 30 listopada, luka została ujawniona publicznie.

Kilka dni później Brendon Tiszka potwierdził, że Meta wprowadziła jedynie częściowe zabezpieczenie po stronie serwera. Prace nad pełną poprawką po stronie aplikacji nadal trwają. Od tamtej pory zgłoszenie nie doczekało się aktualizacji, co sugeruje, że podatność wciąż pozostaje aktywna w stabilnych wersjach WhatsAppa na Androidzie.

Android pod lupą, inne platformy poza zagrożeniem

W dokumentacji Google Project Zero wskazano wyłącznie na wersję WhatsAppa dla Androida. Brak informacji o podobnych problemach na iOS czy innych platformach sugeruje, że podatność ma charakter systemowy i jest powiązana z mechanizmami obsługi multimediów w Androidzie.

Użytkownicy, którzy zostali już dodani do grupy bez swojej wiedzy, mogą znaleźć się w trudniejszej sytuacji, szczególnie jeśli atak już trwa. Z tego powodu eksperci zalecają nie tylko zmianę ustawień prywatności czatów, ale również globalne wyłączenie automatycznego pobierania multimediów w ustawieniach aplikacji.

Powracający problem z załącznikami

To nie pierwszy raz, gdy WhatsApp trafia na celownik badaczy bezpieczeństwa w kontekście obsługi plików. W ubiegłym roku Meta informowała o luce związanej z załącznikami, która również mogła prowadzić do nieautoryzowanego wykonania kodu. Kolejne tego typu odkrycie pokazuje, że obszar multimediów pozostaje jednym z najbardziej atrakcyjnych wektorów ataku w popularnych komunikatorach.