Το Google Project Zero αποκαλύπτει ένα ελάττωμα στο WhatsApp Android που επιτρέπει την αυτόματη λήψη κακόβουλων αρχείων σε ομάδες

Ο Google Project Zero αποκάλυψε μια ευπάθεια στο WhatsApp στο Android που επιτρέπει την αυτόματη λήψη κακόβουλων αρχείων χωρίς καμία αλληλεπίδραση με τον χρήστη. Το ελάττωμα εκμεταλλεύεται τους μηχανισμούς της ομάδας, επιτρέποντας στους εισβολείς να προσθέτουν γνωστά θύματα και επαφές για να στείλουν επικίνδυνο περιεχόμενο. Το ζήτημα αναφέρθηκε στο Meta την 1η Σεπτεμβρίου 2025 και δημοσιοποιήθηκε μετά από 90 ημέρες χωρίς πλήρη επιδιόρθωση.

Η παραβίαση επηρεάζει αποκλειστικά την έκδοση Android της εφαρμογής, καθώς άλλες πλατφόρμες δεν παρουσιάζουν την ίδια συμπεριφορά. Ο Usuários μπορεί να προστατευτεί ενεργοποιώντας συγκεκριμένες ρυθμίσεις απορρήτου και λήψης. Το Meta εφάρμοσε μια μερική επιδιόρθωση διακομιστή τον Δεκέμβριο του 2025, αλλά η πλήρης επιδιόρθωση βρίσκεται ακόμη σε εξέλιξη.

• Η ενεργοποίηση του ενισχυμένου απορρήτου σε ομάδες μειώνει σημαντικούς κινδύνους.
• Η απενεργοποίηση της αυτόματης λήψης πολυμέσων αποτρέπει την ακούσια εκτέλεση αρχείων.
• Οι τακτικές ενημερώσεις εφαρμογών συμβάλλουν στον μετριασμό των γνωστών απειλών.

Η ευπάθεια υπογραμμίζει τη σημασία των ρυθμίσεων ασφαλείας σε ευρέως χρησιμοποιούμενες εφαρμογές ανταλλαγής μηνυμάτων.

Λεπτομέρειες για την ευπάθεια που εντοπίστηκε

Το ελάττωμα επιτρέπει σε έναν εισβολέα να δημιουργήσει μια ομάδα στο WhatsApp και να προσθέσει το θύμα μαζί με την επαφή του. Στη συνέχεια, η επαφή προωθείται σε διαχειριστή, ο οποίος εξουσιοδοτεί την αποστολή πολυμέσων που γίνονται αυτόματα λήψη στη συσκευή του θύματος. Το περιεχόμενο Esse πηγαίνει απευθείας στη βάση δεδομένων MediaStore του Android.

Η εκμετάλλευση εξαρτάται από το ότι το κακόβουλο αρχείο μπορεί να διαφύγει από το περιορισμένο περιβάλλον MediaStore. Το Caso επιτυγχάνει, μπορεί να εκτελέσει επιβλαβείς ενέργειες χωρίς ο χρήστης να κάνει κλικ ή να αλληλεπιδράσει. Η εκμετάλλευση απαιτεί γνώση των αριθμών τηλεφώνου που εμπλέκονται, γεγονός που περιορίζει τις μαζικές επιθέσεις, αλλά δεν τις καθιστά αδύνατες.

Μηχανισμός επίθεσης σε ομάδες

Η παράκαμψη συμβαίνει επειδή το WhatsApp αντιμετωπίζει διαφορετικά τα μηνύματα από τους διαχειριστές σε ομάδες. Quando μια γνωστή επαφή γίνεται διαχειριστής, παρακάμπτονται οι προστασίες από αυτόματες λήψεις από μη επαφές. Το Isso δημιουργεί ένα παράθυρο για την αποστολή επικίνδυνων αρχείων.

Τα κακόβουλα αρχεία πρέπει να είναι εξελιγμένα για την εκμετάλλευση του MediaStore και την πρόσβαση σε άλλα μέρη του συστήματος. Η ευπάθεια δεν επηρεάζει τις εκδόσεις του WhatsApp σε iOS, Windows ή macOS, οι οποίες έχουν διαφορετική λογική διαχείρισης πολυμέσων. Η αποκλειστική εστίαση στο Android προκύπτει από ιδιαιτερότητες του λειτουργικού συστήματος.

Διαθέσιμα προστατευτικά μέτρα

Οι χρήστες του WhatsApp στο Android μπορούν να ενεργοποιήσουν το βελτιωμένο απόρρητο στις ομαδικές συνομιλίες. Para αυτό, αποκτήστε πρόσβαση στις πληροφορίες της ομάδας και ενεργοποιήστε την αντίστοιχη επιλογή, η οποία αποκλείει ύποπτες αυτόματες λήψεις. Η ρύθμιση Essa είναι διαθέσιμη στις πιο πρόσφατες εκδόσεις της εφαρμογής.

Μια άλλη σύσταση είναι να απενεργοποιήσετε την αυτόματη λήψη πολυμέσων στις ρυθμίσεις αποθήκευσης και δεδομένων. Με αυτήν την επιλογή απενεργοποιημένη, η λήψη των αρχείων γίνεται μόνο με μη αυτόματο τρόπο, μειώνοντας τον κίνδυνο ακούσιας εκτέλεσης. Οι απλές ενέργειες Essas αυξάνουν σημαντικά την καθημερινή ασφάλεια.

Διορθώσεις που εφαρμόστηκαν από τον Meta

Ο Meta έλαβε την ιδιωτική αναφορά από Μια μερική ενημέρωση από την πλευρά του διακομιστή εφαρμόστηκε στις 4 Δεκεμβρίου.

Η πλήρης επιδιόρθωση παραμένει σε εξέλιξη, όπως υποδεικνύεται στο αρχείο καταγραφής Project Zero. Não Υπάρχουν μεταγενέστερες ενημερώσεις στο επίσημο δελτίο, γεγονός που υποδηλώνει ότι το κενό μπορεί ακόμα να αξιοποιηθεί σε συγκεκριμένα σενάρια. Η εταιρεία συνεχίζει να εργάζεται για την οριστική λύση.

Προτεινόμενες ρυθμίσεις βήμα προς βήμα

Οι χρήστες πρέπει να έχουν πρόσβαση στις ρυθμίσεις του WhatsApp και να πλοηγηθούν στην ενότητα αποθήκευσης και δεδομένων. Lá, απενεργοποιήστε την αυτόματη λήψη φωτογραφιών, ήχου, βίντεο και εγγράφων σε δίκτυα κινητής τηλεφωνίας και Wi-Fi. Η αλλαγή Essa αποτρέπει τη λήψη περιεχομένου από μη αξιόπιστες πηγές.

Στις υπάρχουσες ομάδες, η ενεργοποίηση του βελτιωμένου απορρήτου ενισχύει τα εμπόδια κατά των κακόβουλων διαχειριστών. Η επιλογή εμφανίζεται στο μενού πληροφοριών ομάδας, όταν αγγίζετε τις τρεις τελείες. Manter η ενημερωμένη εφαρμογή εγγυάται τη λήψη μελλοντικών ενημερώσεων κώδικα.

Ο συνδυασμός αυτών των μέτρων δημιουργεί αποτελεσματικά επίπεδα προστασίας έναντι του τύπου εκμετάλλευσης που περιγράφεται. Οι χρήστες Muitos δεν γνωρίζουν αυτές τις δυνατότητες, γεγονός που αυξάνει την περιττή έκθεση. Τα εγχειρίδια Configurações συμπληρώνουν τις αυτόματες προστασίες του συστήματος.

Leia Tambem

Η ψηφιακή λιανική μειώνει την αξία του smartphone Galaxy S25 5G με τραπεζικά μπόνους και ανταλλαγή συσκευών

Ο ασύρματος προσαρμογέας CarPlay της Amazon έχει έκπτωση 50% και υψηλές βαθμολογίες έγκρισης από τους οδηγούς

Το νέο Resident Evil του Zach Cregger αγνοεί τα παιχνίδια και εστιάζει σε μια ιστορία άνευ προηγουμένου με νέους χαρακτήρες

Project Zero πλαίσιο ομάδας

Το Google Project Zero συγκεντρώνει ερευνητές αφοσιωμένους στον εντοπισμό σοβαρών ελαττωμάτων σε ευρέως χρησιμοποιούμενο λογισμικό. Η ομάδα ακολουθεί μια πολιτική αποκάλυψης 90 ημερών, ενθαρρύνοντας τις γρήγορες επιδιορθώσεις από τους προγραμματιστές. Το δημόσιο Relatórios βοηθά την κοινότητα ασφαλείας να κατανοήσει τις αναδυόμενες απειλές.

Περιπτώσεις όπως αυτή καταδεικνύουν τον αντίκτυπο των ανεξάρτητων κριτικών σε μεγάλες πλατφόρμες. Η δουλειά του Project Zero έχει ήδη οδηγήσει σε βελτιώσεις σε πολλά λειτουργικά συστήματα και εφαρμογές. Η διαφανής προσέγγιση συμβάλλει στην αύξηση των προτύπων ασφάλειας στον κλάδο.

Λειτουργία MediaStore στο Android

Το MediaStore διαχειρίζεται αρχεία πολυμέσων στο σύστημα Android, ενεργώντας ως ενδιάμεσος μεταξύ των εφαρμογών και της αποθήκευσης. Quando Το WhatsApp κατεβάζει περιεχόμενο, περνά μέσα από αυτό το στοιχείο πριν είναι προσβάσιμο στον χρήστη. Τα Exploits που διαφεύγουν από αυτό το περιβάλλον μπορούν να φτάσουν σε πιο ευαίσθητες περιοχές της συσκευής.

Οι προγραμματιστές δημιουργούν κακόβουλα αρχεία εκμεταλλευόμενοι αναλυτές εικόνων ή βίντεο μέσα στο MediaStore. Η ευπάθεια ενισχύει αυτόν τον κίνδυνο επιτρέποντας λήψεις χωρίς αλληλεπίδραση σε συγκεκριμένα περιβάλλοντα ομάδας. Το Atualizações του Android επηρεάζει επίσης την αποτελεσματικότητα αυτών των προστασιών με την πάροδο του χρόνου.

Η αλληλεπίδραση μεταξύ των εφαρμογών ανταλλαγής μηνυμάτων και των εγγενών στοιχείων του λειτουργικού συστήματος δημιουργεί ευάλωτα σημεία. Το Fabricantes και οι προγραμματιστές συντονίζουν τις προσπάθειες για την ενίσχυση αυτών των φραγμών. Το Usuários επωφελείται έμμεσα από τις διορθώσεις που εφαρμόζονται σε πολλαπλά επίπεδα.

Γνωστοί πρακτικοί περιορισμοί εξερεύνησης

Αν και σοβαρή, η επίθεση απαιτεί από τον εισβολέα να γνωρίζει τους αριθμούς τηλεφώνου του θύματος και τον αριθμό επικοινωνίας του θύματος. Obter Αυτές οι πληροφορίες έχουν γίνει πιο προσιτές με τις διαρροές δεδομένων, αλλά εξακολουθούν να αποτελούν εμπόδιο. Η μεγάλη κλίμακα Ataques είναι απίθανη λόγω αυτών των περιορισμών.

Η ανάγκη για ένα εξαιρετικά εξελιγμένο κακόβουλο αρχείο μειώνει τον αριθμό των απειλών που μπορούν να εκμεταλλευτούν το ελάττωμα. Τα υπάρχοντα συστήματα Grupos με παραβιασμένους διαχειριστές αυξάνουν τον κίνδυνο σε συγκεκριμένα σενάρια. Usuários η προσοχή σε ύποπτες προσκλήσεις ελαχιστοποιεί την έκθεση.

Ο ρόλος των ρυθμίσεων απορρήτου

Το προηγμένο απόρρητο στις ομάδες εμποδίζει άγνωστους αριθμούς να δουν προσωπικές πληροφορίες. Η λειτουργία Essa, όταν είναι ενεργοποιημένη, προσθέτει επιπλέον επίπεδο έναντι μη εξουσιοδοτημένων προσθηκών. Οι χρήστες Muitos διατηρούν τις προεπιλεγμένες ρυθμίσεις, διευκολύνοντας τις εκμεταλλεύσεις.

Το WhatsApp προσφέρει εργαλεία για τον περιορισμό του ποιος μπορεί να προσθέσει κάποιον σε ομάδες. Οι επιλογές Essas εμφανίζονται στις ρυθμίσεις απορρήτου της εφαρμογής. Το Ativá τους μειώνει δραστικά τον κίνδυνο να συμπεριληφθούν σε κακόβουλες συνομιλίες χωρίς συναίνεση.

Εξέλιξη των προστασιών εντός εφαρμογής

Το WhatsApp εισήγαγε σταδιακά λειτουργίες για την καταπολέμηση ανεπιθύμητων μηνυμάτων και απειλών σε ομάδες. Atualizações πρόσφατα ενισχυμένα στοιχεία ελέγχου διαχειριστή και λήψης. Apesar Επιπλέον, κενά όπως αυτό που εντοπίστηκε δείχνουν ότι απαιτούνται συνεχείς βελτιώσεις.

Η Meta επενδύει σε ομάδες αφιερωμένες στην ασφάλεια εφαρμογών. Το Parcerias με εξωτερικούς ερευνητές επιταχύνει τον εντοπισμό και τη διόρθωση του προβλήματος. Το Usuários λαμβάνει αυτές τις βελτιώσεις μέσω αυτόματων ενημερώσεων στο κατάστημα εφαρμογών.

Η εξισορρόπηση της χρηστικότητας και της ασφάλειας παραμένει μια συνεχής πρόκληση για τις πλατφόρμες ανταλλαγής μηνυμάτων. Τα Recursos που διευκολύνουν την ταχεία επικοινωνία μπορούν να δημιουργήσουν διανύσματα επίθεσης. Οι τακτικοί πελάτες Ajustes επιδιώκουν να μετριάσουν αυτούς τους συμβιβασμούς χωρίς να διακυβεύσουν την εμπειρία.

Η εκτεθειμένη ευπάθεια ενισχύει την ανάγκη για συνεχή επαγρύπνηση στα ψηφιακά οικοσυστήματα. Configurações Οι επαρκείς και τακτικές ενημερώσεις αποτελούν την καλύτερη άμυνα για τους απλούς χρήστες. Plataformas πώς το WhatsApp συνεχίζει να εξελίσσεται για την αντιμετώπιση αναδυόμενων απειλών.