Luka w WhatsAppie. Sprawdź ustawienia

Google Project Zero poinformował o odkryciu poważnej podatności w komunikatorze WhatsApp na Androidzie. Luka umożliwia przestępcom przejęcie kontroli nad urządzeniem użytkownika poprzez specjalnie przygotowany plik multimedialny, który może zostać automatycznie pobrany bez wiedzy ofiary.

Szczegóły ataku wskazują, że cyberprzestępca najpierw tworzy nową grupę WhatsApp, dodaje do niej przyszłą ofiarę oraz jej znajomego, po czym przekazuje temu drugiemu osobie uprawnienia administratora. Taki scenariusz pozwala na przesłanie zainfekowanego pliku, który – w przypadku aktywnego automatycznego pobierania w aplikacji – zostaje automatycznie zapisany na urządzeniu.

Usterka bazuje na funkcji automatycznego zapisywania mediów w bazie danych MediaStore na Androidzie. To sprawia, że możliwy jest atak nawet bez czynnego udziału użytkownika. Warunkiem koniecznym jest jednak uzyskanie przez przestępcę numerów telefonów wybranych użytkowników WhatsApp.

Eksperci Google Project Zero podkreślają, że zagrożenie wzrasta, kiedy użytkownik nie skonfigurował zaawansowanych ustawień prywatności grup oraz ma uruchomione automatyczne pobieranie plików. Zalecają włączenie dodatkowych opcji ochrony w czatach grupowych oraz ręczne wyłączenie automatycznego odbierania mediów, co minimalizuje ryzyko infekcji.

Meta miała od 1 września 2025 r. 90 dni na pełne załatanie podatności, jednak do 30 listopada rozwiązanie nie zostało zaimplementowane. Google Project Zero opublikował więc szczegóły techniczne. Częściowe zabezpieczenie pojawiło się 4 grudnia, ale na kompletne rozwiązanie użytkownicy Androida muszą jeszcze poczekać. Warto zwrócić uwagę, że luka dotyczy wyłącznie systemu Android.