Un informe de seguretat de l'equip Project Zero de Google ha posat de manifest una vulnerabilitat crítica a WhatsApp per Android que pot permetre a un atacant introduir arxius maliciosos al dispositiu de la víctima sense necessitat d'interacció per part de l'usuari.
Desactiva la descàrrega automàtica per mitigar el risc
Segons l'informe, la decisió resideix en la manera com WhatsApp gestiona la descàrrega automàtica de contingut multimèdia dins de xats grupals. Un atacant pot crear un grup, afegir la víctima i un dels seus contactes, promoure aquest contacte a administrador i enviar un fitxer multimèdia especialment dissenyat que es descarregarà automàticament al dispositiu de la víctima. Un cop guardat al sistema de fitxers del dispositiu, podria donar lloc a l'execució de codi maliciós oa altres vectors d'atac si aconsegueix escapar dels mecanismes de seguretat habituals.
Per què és rellevant aquesta troballa?
WhatsApp és una de les aplicacions de missatgeria més utilitzades del món, amb més de 2.000 milions d'usuaris actius. La seva popularitat la converteix en un blanc atractiu per als ciberdelinqüents, i aquesta vulnerabilitat demostra com funcions aparentment benignes com la descàrrega automàtica d'imatges i vídeos es poden convertir en vectors d'explotació.
L'equip de Project Zero de Google va informar la vulnerabilitat a Meta el 1 de setembre de 2025 sota el protocol estàndard de divulgació responsable, que concedeix 90 dies perquè el proveïdor implementi una solució. Com que no s'ha publicat una correcció completa dins aquest termini, la informació s'ha fet pública. Meta va aplicar una mitigació parcial al servidor l'11 de novembre del 2025, però una solució definitiva a nivell d'aplicació encara està en desenvolupament, segons els informes més recents.
Recomanacions de seguretat
En aquest context, els investigadors recomanen les accions següents per reduir el risc d'explotació:
- Desactivar la descàrrega automàtica de fitxers multimèdia a WhatsApp:
Paràmetres → Emmagatzematge i dades → Descàrrega automàtica de mitjans → seleccionar Mai. - Activar la “Privadesa avançada del xat”:
Aquesta funció restringeix l'exportació de xats, limita l'ús de missatges per a funcions d'IA dins de l'app i impedeix la baixada automàtica de contingut multimèdia. - Mantenir WhatsApp actualitzat:
Instal·lar les últimes versions disponibles com més aviat millor, ja que les actualitzacions solen incloure pegats i millores de seguretat. (Encara que en aquest cas encara no hi ha una solució completa publicada per Meta, això segueix sent una bona pràctica general)
Implicacions per a la seguretat
Aquest incident subratlla com a característiques orientades a la comoditat de l'usuari poden convertir-se en portes dentrada per a atacs si no es gestionen adequadament. En un entorn de amenaça altament dinàmic, com l'actual, la configuració per defecte de les aplicacions pot no ser suficient per protegir tots els usuaris i es fa indispensable aplicar mesures preventives addicionals.
Des d'una perspectiva de SOC, aquest cas és un bon recordatori que no només les vulnerabilitats de programari tradicionals (RCE, injecció, etc.) importen, sinó també com les funcions de les aplicacions interactuen amb els mecanismes del sistema operatiu i poden obrir vectors datac indirectes.
