WhatsApp, несмотря на свое сквозное шифрование, на протяжении своей истории сталкивался с различными уязвимостями безопасности. Важно отметить, что большинство из них были оперативно устранены разработчиками, но некоторые приводили к серьезным последствиям. Эти уязвимости часто делятся на несколько категорий:
1. Уязвимости удаленного выполнения кода (Remote Code Execution - RCE)
Это одни из самых критических уязвимостей, поскольку они позволяют злоумышленнику выполнять произвольный код на устройстве жертвы без прямого взаимодействия или с минимальным взаимодействием.
Уязвимость "Звонок Pegasus" (май 2019 года): Одна из самых известных и серьезных уязвимостей. Она позволяла злоумышленникам установить шпионское ПО (в частности, Pegasus, разработанное израильской компанией NSO Group) на смартфоны пользователей Android и iOS, просто совершив звонок через WhatsApp. Для эксплуатации уязвимости жертве не нужно было даже отвечать на звонок. После установки шпионское ПО могло получать доступ к сообщениям, звонкам, микрофону, камере и другим данным на устройстве. WhatsApp быстро выпустил патч.
Уязвимости, связанные с MP4-файлами (2019 год): Были обнаружены База данных whatsapp Панамы уязвимости, позволяющие RCE или отказ в обслуживании (DoS) путем отправки специально созданного MP4-файла. Проблема заключалась в парсинге метаданных элементарного потока MP4-файла.
Уязвимости в обработке изображений (например, GIF, WEBP): В прошлом находили уязвимости в библиотеках обработки изображений (например, libpl_droidsonroids_gif), которые могли быть использованы для RCE или доступа к файлам пользователя при просмотре вредоносного GIF-изображения или WEBP-файла с некорректными EXIF-тегами.
Недавняя уязвимость в WhatsApp для Windows (апрель 2025 года, CVE-2025-30401): Эта уязвимость типа "спуфинг" позволяла злоумышленнику маскировать вредоносный исполняемый файл под безобидный тип (например, JPEG) путем изменения MIME-типа, сохраняя при этом вредоносное расширение файла. Если пользователь вручную открывал такой файл, вместо просмотра изображения запускался вредоносный код. Это подчеркивает важность постоянных обновлений.
2. Уязвимости, связанные с веб-версией (WhatsApp Web/Desktop)
Веб-версии приложений часто являются целью атак из-за их более сложной среды и взаимодействия с браузерами.
Уязвимости XSS (Cross-Site Scripting) и чтения локальных файлов (2019 год): Некоторые уязвимости позволяли злоумышленникам выполнять межсайтовый скриптинг или читать локальные файлы на компьютере пользователя через WhatsApp Desktop при взаимодействии с специально созданной ссылкой или сообщением.
Уязвимости, связанные с подделкой файлов (например, CVE-2025-30401, упомянутая выше): Конкретно для WhatsApp Desktop на Windows, позволявшая обманом заставить пользователя запустить вредоносный код.
3. Уязвимости, связанные с протоколом и метаданными
Хотя сквозное шифрование защищает содержание сообщений, уязвимости могут возникать на уровне протокола или в обработке метаданных.
"Удаление для всех" и фактическое сохранение (проблема не в безопасности, а в приватности): Некоторые исследования показывали, что удаленные "для всех" сообщения могли все еще оставаться в резервных копиях iCloud или Google Drive, если пользователь не включил сквозное шифрование для резервных копий.
Сбор метаданных: Хотя это не уязвимость в прямом смысле, постоянный сбор WhatsApp обширных метаданных (кто с кем общается, когда и как часто) вызывает опасения у правозащитников и экспертов по приватности, поскольку эта информация может быть использована для анализа поведенческих паттернов.
4. Уязвимости типа "отказ в обслуживании" (Denial of Service - DoS)
Эти уязвимости не приводят к краже данных или выполнению кода, но могут привести к "падению" приложения или невозможности его использования.
Краш-сообщения: В прошлом были обнаружены "краш-сообщения" (специально отформатированные тексты или символы), которые при получении приводили к сбою приложения WhatsApp у получателя.
Важные моменты:
Оперативное устранение: WhatsApp, как правило, очень оперативно реагирует на обнаруженные уязвимости и выпускает патчи.
Пользовательская бдительность: Многие атаки используют методы социальной инженерии, заставляя пользователя совершить какое-либо действие (открыть файл, перейти по ссылке).