Кривой как бумеранг мессенджер WhatsApp продолжает бить рекорды уязвимости.
WhatsApp снова в деле! Meta*, материнская компания этого мессенджера, в очередной раз предупредила пользователей Windows: срочно обновляйте приложение до версии 2.2450.6, иначе рискуете стать жертвой новой уязвимости с грозным названием CVE-2025-30401.
Что на этот раз? Атака через подмену типа файла: злоумышленники могут отправить вам вложение, замаскированное под невинный PDF или картинку, но стоит вам его открыть — и привет, вредоносный код уже хозяйничает на вашем устройстве. Мило и любезно, не правда ли?
Давайте разберём, как это работает. WhatsApp, будучи «гениальным» продуктом, определял тип вложения по его MIME-типу (например, image/jpeg), но при открытии ориентировался на расширение файла. Из-за этой нестыковки, если вы вручную открывали заражённый файл внутри приложения, система могла запустить что угодно — от трояна до скрипта, который тихо скачает вам шпионскую программу. Проблема затронула все версии WhatsApp для Windows.
Что характерно, уязвимость нашли не в самой компании. Её обнаружил внешний исследователь через программу Meta Bug Bounty, и пока нет данных, использовалась ли она в реальных атаках. Но, зная послужной список WhatsApp, можно не сомневаться: кто-нибудь да успел повеселиться.
Это не первый прокол криворуких программистов компании. В июле две тысячи двадцать четвёртого года WhatsApp уже латал дыру, из-за которой файлы с расширениями .py и .php запускались без предупреждений, если у вас установлен Python. Тогда хакеры могли отправить скрипт, который, например, украдёт ваши пароли.
А в декабре две тысячи двадцать четвёртого года суд США постановил, что израильская компания NSO Group использовала уязвимости WhatsApp для установки шпионского ПО Pegasus на более чем тысячу четыреста устройств. Судебные документы раскрыли, что NSO применяла сразу несколько уязвимостей нулевого дня, изучая исходный код мессенджера и создавая инструменты для незаметной доставки шпионских программ. Это, между прочим, нарушение американских законов, но WhatsApp, похоже, такие мелочи не волнуют.
В конце две тысячи двадцать четвёртого года Университет Торонто и Citizen Lab раскопали, что WhatsApp был уязвим к шпионской программе Graphite от израильской Paragon. Уязвимость нулевого дня устранили на серверной стороне, но даже CVE-идентификатор ей не присвоили, сославшись на «внутренние правила». А тридцать первого января две тысячи двадцать пятого года WhatsApp уведомил девяносто пользователей Android из двадцати трёх стран о попытках слежки через эту дыру. Вот это забота о клиентах, браво!
Серьёзно, кто вообще продолжает пользоваться этим кривым мессенджером? В мире, где Telegram с его сквозным шифрованием, открытым кодом и отсутствием таких позорных проколов уже давно стал стандартом безопасности, WhatsApp выглядит как цифровой динозавр. Может, пора признать, что WhatsApp — это не мессенджер, а просто удобная площадка для хакеров?
<i>*Организация Meta признана экстремистской на территории РФ </i>
Кривой как бумеранг мессенджер WhatsApp продолжает бить рекорды уязвимости.
WhatsApp снова в деле! Meta*, материнская компания этого мессенджера, в очередной раз предупредила пользователей Windows: срочно обновляйте приложение до версии 2.2450.6, иначе рискуете стать жертвой новой уязвимости с грозным названием CVE-2025-30401.
Что на этот раз? Атака через подмену типа файла: злоумышленники могут отправить вам вложение, замаскированное под невинный PDF или картинку, но стоит вам его открыть — и привет, вредоносный код уже хозяйничает на вашем устройстве. Мило и любезно, не правда ли?
Давайте разберём, как это работает. WhatsApp, будучи «гениальным» продуктом, определял тип вложения по его MIME-типу (например, image/jpeg), но при открытии ориентировался на расширение файла. Из-за этой нестыковки, если вы вручную открывали заражённый файл внутри приложения, система могла запустить что угодно — от трояна до скрипта, который тихо скачает вам шпионскую программу. Проблема затронула все версии WhatsApp для Windows.
Что характерно, уязвимость нашли не в самой компании. Её обнаружил внешний исследователь через программу Meta Bug Bounty, и пока нет данных, использовалась ли она в реальных атаках. Но, зная послужной список WhatsApp, можно не сомневаться: кто-нибудь да успел повеселиться.
Это не первый прокол криворуких программистов компании. В июле две тысячи двадцать четвёртого года WhatsApp уже латал дыру, из-за которой файлы с расширениями .py и .php запускались без предупреждений, если у вас установлен Python. Тогда хакеры могли отправить скрипт, который, например, украдёт ваши пароли.
А в декабре две тысячи двадцать четвёртого года суд США постановил, что израильская компания NSO Group использовала уязвимости WhatsApp для установки шпионского ПО Pegasus на более чем тысячу четыреста устройств. Судебные документы раскрыли, что NSO применяла сразу несколько уязвимостей нулевого дня, изучая исходный код мессенджера и создавая инструменты для незаметной доставки шпионских программ. Это, между прочим, нарушение американских законов, но WhatsApp, похоже, такие мелочи не волнуют.
В конце две тысячи двадцать четвёртого года Университет Торонто и Citizen Lab раскопали, что WhatsApp был уязвим к шпионской программе Graphite от израильской Paragon. Уязвимость нулевого дня устранили на серверной стороне, но даже CVE-идентификатор ей не присвоили, сославшись на «внутренние правила». А тридцать первого января две тысячи двадцать пятого года WhatsApp уведомил девяносто пользователей Android из двадцати трёх стран о попытках слежки через эту дыру. Вот это забота о клиентах, браво!
Серьёзно, кто вообще продолжает пользоваться этим кривым мессенджером? В мире, где Telegram с его сквозным шифрованием, открытым кодом и отсутствием таких позорных проколов уже давно стал стандартом безопасности, WhatsApp выглядит как цифровой динозавр. Может, пора признать, что WhatsApp — это не мессенджер, а просто удобная площадка для хакеров?
<i>*Организация Meta признана экстремистской на территории РФ </i>
Telegram was founded in 2013 by two Russian brothers, Nikolai and Pavel Durov. In a statement, the regulator said the search and seizure operation was carried out against seven individuals and one corporate entity at multiple locations in Ahmedabad and Bhavnagar in Gujarat, Neemuch in Madhya Pradesh, Delhi, and Mumbai. The company maintains that it cannot act against individual or group chats, which are “private amongst their participants,” but it will respond to requests in relation to sticker sets, channels and bots which are publicly available. During the invasion of Ukraine, Pavel Durov has wrestled with this issue a lot more prominently than he has before. Channels like Donbass Insider and Bellum Acta, as reported by Foreign Policy, started pumping out pro-Russian propaganda as the invasion began. So much so that the Ukrainian National Security and Defense Council issued a statement labeling which accounts are Russian-backed. Ukrainian officials, in potential violation of the Geneva Convention, have shared imagery of dead and captured Russian soldiers on the platform. "Like the bombing of the maternity ward in Mariupol," he said, "Even before it hits the news, you see the videos on the Telegram channels." This provided opportunity to their linked entities to offload their shares at higher prices and make significant profits at the cost of unsuspecting retail investors.
from us
