Компания Meta* приступила к устранению уязвимостей в мессенджере WhatsApp*, которые на протяжении нескольких лет позволяли киберзлоумышленникам проводить так называемый «цифровой отпечаток» устройств. Этот метод не предполагает непосредственного взлома аккаунта, но даёт возможность собирать критически важные метаданные: определять тип операционной системы, модель устройства и способ использования приложения (через мобильное приложение или веб-версию). Об этом сообщает издание «АМ Медиа». Актуальность проблемы обусловлена статусом WhatsApp* как одного из ключевых каналов для распространения шпионского софта. Благодаря аудитории в около 3 миллиардов пользователей, 0-day уязвимости в этом мессенджере представляют огромную ценность − стоимость полноценной цепочки эксплойтов может достигать миллиона долларов. Именно такие уязвимости использовались, например, в кампаниях со шпионским ПО Paragon, детали которых стали известны в 2025 году. Перед использованием дорогостоящего zero-day злоумышленникам необходимо точно определить ОС – Андроид, IOS или веб-версия на десктопе. Как выяснили исследователи, для этого достаточно лишь номера телефона жертвы − без необходимости отправки сообщений, перехода по ссылкам или какого-либо взаимодействия с пользователем, который остаётся в полном неведении. Техническая причина утечки заключалась в предсказуемой структуре идентификаторов ключей шифрования, которые WhatsApp* присваивал каждому подключённому устройству. Анализируя эти идентификаторы, можно было установить не только тип ОС (Android, iOS), но и приблизительное «возраст» устройства, а также факт использования браузерной версии. Одним из основных исследователей данной проблемы выступил Таль Беэри, сооснователь и СТО криптокошелька Zengo. Он и его коллеги неоднократно информировали Meta* о рисках, однако активные действия со стороны разработчика последовали лишь недавно. Беэри отметил, что WhatsApp* начал внедрять рандомизацию идентификаторов ключей в версии для Android, что существенно усложняет процесс цифрового «отпечатка». Тем не менее, проблема устранена не полностью. По словам эксперта, различие между Android и iOS всё ещё можно выявить с высокой точностью, поскольку iOS использует последовательно возрастающие значения идентификаторов, а Android − случайные в рамках 24-битного диапазона. Однако Беэри оценивает это как важный первый шаг к комплексному исправлению на всех платформах. Исследователь также раскритиковал отсутствие публичной коммуникации со стороны Meta*: пользователи не были уведомлены о характере исправлений, а обнаруженным уязвимостям не были присвоены стандартные идентификаторы CVE. В компании частично оспорили эту критику. Представители Meta* заявили, что сама по себе возможность определения ОС не считается критической уязвимостью. Они аргументировали это тем, что аналогичные методы возможны во множестве других сервисов, а операционные системы часто сами раскрывают данные о своей платформе для корректной работы приложений. Кроме того, без эксплуатации уязвимости 0-day подобная информация имеет невысокую практическую ценность для атаки. В то же время в компании признали, что отчёт Беэри способствовал улучшению обработки ошибочных сообщений и совершенствованию процессов поиска уязвимостей. Исследователь получил денежное вознаграждение в рамках программы баг-баунти, общий размер выплат по которой, по данным Meta*, составил 25 миллионов долларов, из них 4 миллиона − в 2025 году. * признана экстремистской и запрещена в России Мошенники нашли новый способ разводить россиян на деньги в WhatsApp*
