Een Google-onderzoeker heeft een kwetsbaarheid in WhatsApp voor Android ontdekt waarmee media zonder gebruikersinteractie gedownload kunnen worden. Meta heeft op 11 november een serverwijziging doorgevoerd die het probleem gedeeltelijk oplost. Een volledige oplossing is nog in ontwikkeling, aldus Brendon Tiszka van Google Project Zero. Google heeft de details openbaar gemaakt omdat Meta niet binnen de deadline met een update kwam. Het probleem werd op 2 september vorig jaar aan Meta gemeld.

Om beveiligingsproblemen en spam te voorkomen, worden bestanden van onbekende contacten in WhatsApp voor Android niet automatisch gedownload. Enige gebruikersinteractie is vereist. Gedownloade bestanden kunnen in de MediaStore-database verschijnen, die mediabestanden indexeert en beheert. Dit vergroot het aanvalsoppervlak, aldus Tiszka. Bestanden die via WhatsApp worden gedownload, verschijnen direct in deze database, wat verdere aanvallen mogelijk maakt. Voor misbruik moet een aanvaller een WhatsApp-groep aanmaken, het slachtoffer toevoegen, en een contact van het slachtoffer als admin maken. Vervolgens stuurt de aanvaller een kwaadaardige afbeelding naar de groep, die automatisch wordt gedownload. Tiszka merkt op dat de aanvaller een contact van het slachtoffer moet kennen, maar dat dit te raden valt. Het uitschakelen van automatische downloads of het inschakelen van de WhatsApp Advance Privacy Mode voorkomt automatische downloads.