Bezpečnostní tým Google Project Zero zveřejnil podrobnosti o vážné zranitelnosti v aplikaci WhatsApp pro Android, kterou Meta ani po 90 dnech od nahlášení neopravila. Chyba umožňuje útočníkovi zaslat škodlivý soubor, který se automaticky stáhne do zařízení oběti bez jejího vědomí – stačí výchozí nastavení aplikace. Výzkumníci doporučují okamžitě vypnout automatické stahování médií.
Podle údajů společnosti Meta používá WhatsApp přibližně 2 miliardy lidí. Jedná se o nejoblíbenější komunikační platformu na světě, a proto je lákavým cílem pro kyberzločince. Projekt Zero je naopak bezpečnostní výzkumný tým společnosti Google, který se věnuje vyhledávání závažných zranitelností v široce používaném softwaru, nejen v softwaru společnosti Google, a jejich nahlašování výrobcům, aby je opravili; na to mají 90 dní. Loni v září Project Zero informoval společnost Meta o zranitelnosti v aplikaci WhatsApp, kterou společnost Marka Zuckerberga v této lhůtě neopravila, a tak se tým Googlu rozhodl ji zveřejnit.
Zranitelnost byla uvedena jako CVE-2024-0512 a ovlivňuje způsob, jakým aplikace WhatsApp pro Android zpracovává mediální soubory, které jsou automaticky stahovány a ukládány do zařízení. Nejedná se sice o chybu, která by umožnila kompletní ovládnutí telefonu jedinou zprávou, ale otevírá cestu k útoku, který lze kombinovat s dalšími chybami nebo technikami sociálního inženýrství a narušit tak soukromí uživatele.
Brendon Tiszka z Project Zero vysvětluje, jak tato chyba funguje, v příspěvku na veřejném issue trackeru Project Zero. Útočník může vytvořit skupinu WhatsApp, do které přidá oběť a kontakt oběti. Útočník pak učiní kontakt oběti správcem skupiny a odešle škodlivý mediální obsah, který se automaticky stáhne do zařízení oběti, aniž by uživatel musel jakkoli zasahovat, čímž se mu otevře cesta k útoku.
Trik spočívá v tom, že útočník nepotřebuje, aby oběť na cokoli klikala nebo přijímala pozvánky: stačí, aby výchozí nastavení aplikace WhatsApp umožňovalo automatické stahování fotografií, videí nebo dokumentů. Tento škodlivý soubor skončí ve sdíleném úložišti telefonu a může být indexován jinými aplikacemi nebo zneužit dalšími chybami v operačním systému nebo aplikacemi třetích stran.
Tento typ útoku je známý jako útok „zero-click„: uživatel nemusí pro spuštění útoku nic udělat. Ačkoli je v tomto případě dopad omezenější než u jiných známých exploitů (například těch, které postihly iMessage nebo e-mailové služby), kombinace automatického stahování a sdíleného úložiště činí riziko reálným, zejména při cílených útocích.
Proč je tato zranitelnost nebezpečná
Za normálních podmínek funguje aplikace WhatsApp jako relativně izolované prostředí: soubory přijaté v chatu jsou zpracovávány v rámci samotné aplikace a teoreticky by neměly ovlivnit zbytek systému. Problém nastává, když jsou tyto soubory uloženy na místech, ke kterým mají přístup jiné aplikace.
V systému Android tuto funkci plní databáze MediaStore, která indexuje a katalogizuje fotografie, videa a další multimediální obsah v zařízení. Mnoho aplikací – od fotogalerií přes editory videa, aplikace pro zasílání zpráv až po aplikace sociálních sítí – se při zobrazování těchto souborů nebo manipulaci s nimi obrací na MediaStore. Pokud se do MediaStore dostane škodlivý soubor, počet možných vektorů útoku se znásobí.
Jedním z možných scénářů je, že aplikace s vlastní nezkontrolovanou zranitelností zpracuje soubor, který přišel prostřednictvím aplikace WhatsApp, ale již je ve sdíleném úložišti. Další možností je, že malware již nainstalovaný v zařízení použije tyto soubory jako kanál k úniku informací nebo spuštění dalšího kódu. Nejedná se o „zázračný hack“ s jedinou zprávou, ale o další článek v řetězci útoku.
Podle zprávy Project Zero je útok považován za cílený, protože útočník potřebuje znát nebo uhodnout alespoň jeden kontakt oběti, aby ji mohl přidat do skupiny a udělat z ní správce. Nicméně vlastní tým společnosti Google upřesňuje, že „je snadné se o to pokusit mnohokrát v rychlém sledu a pravděpodobně je snadné uhodnout kontakty při cílených útocích“. V praxi by útočník, který má o oběti nějaké předchozí informace (např. spolupracovníky, rodinné příslušníky nebo časté kontakty), mohl pokusy automatizovat, dokud by neuspěl.
Co Meta dosud udělala a proč to Google zveřejnil
Projekt Zero informoval společnost Meta o této zranitelnosti 1. září 2025 a dal jí 90 dní na opravu problému, než jej zveřejní, a to v souladu se svou standardní politikou „odpovědného zveřejnění do stanoveného termínu“. Tato politika, kterou Google uplatňuje i u svých vlastních produktů, zajišťuje rovnováhu: dává výrobcům čas na opravu závažných chyb, ale zároveň zabraňuje tomu, aby kritické zranitelnosti zůstaly navždy neřešeny.
Poté, co uplynulo 90 dní, aniž by Meta vydala úplnou opravu pro uživatele, zveřejnil Project Zero zranitelnost ve svém nástroji pro sledování problémů. Dne 4. prosince Tiszka potvrdil, že společnost Meta sice použila částečnou opravu na straně serveru, aby tuto bezpečnostní díru odstranila, ale na úplné opravě se stále pracuje. Takové zmírnění snižuje snadnost zneužití chyby, ale riziko zcela neodstraňuje, zejména ve složitých scénářích nebo pokud se objeví varianty útoku.
Od té doby nebylo vydání aktualizováno o nová sdělení, což by naznačovalo, že chyba je stále otevřená, uvádí Forbes. Společnost Meta ze své strany uvedla, že pracuje na dalších změnách v aplikacích na straně serveru i klienta, aniž by však poskytla podrobný veřejný časový plán.
Tento druh napětí mezi bezpečnostními výzkumníky a hlavními platformami není nový. Projekt Zero v minulosti zveřejnil neopravené chyby v produktech společností Microsoft, Apple nebo dokonce samotného Googlu, když uplynula 90denní (nebo 120denní ve zvláště složitých případech) lhůta. Smyslem je prosadit, aby bezpečnost nebyla upozaděna před jinými obchodními prioritami.
Zatím je doporučení výzkumníků jasné: zkontrolujte nastavení aplikace WhatsApp a zakažte automatické stahování mediálních souborů, alespoň dokud nebude k dispozici úplné a zdokumentované řešení. V situaci, kdy se aplikace pro zasílání zpráv staly hlavním prostředkem osobní a profesní komunikace, mohou malé úpravy konfigurace znamenat rozdíl mezi bezpečnostním incidentem a pouhým vyděšením.