Oblíbená aplikace pro rychlé zasílání zpráv WhatsApp varuje před nebezpečnou bezpečnostní chybou. Zranitelnost se týká uživatelů systému Windows. Důrazně se doporučuje okamžitě provést aktualizaci na nejnovější verzi.
Provozovatel aplikace WhatsApp, společnost Meta, vydal nové bezpečnostní varování určené uživatelům systému Windows. Upozorňuje na závažnou bezpečnostní chybu označenou jako CVE-2025-30401, která by mohla být zneužita k infikování zařízení malwarem. Podle vyjádření společnosti zatím „neexistují důkazy o zneužití této chyby v praxi“, nicméně všem uživatelům se důrazně doporučuje aktualizovat aplikaci WhatsApp pro Windows, pokud jejich verze nedosahuje alespoň čísla 2.2450.6.
Meta vysvětlila, že „chyba mohla způsobit situaci, kdy příjemce po ručním otevření přílohy v aplikaci omylem spustil libovolný kód, namísto očekávaného zobrazení obsahu souboru“.
Zranitelnost nahlásil externí bezpečnostní výzkumník v rámci programu Meta Bug Bounty a byla klasifikována jako problém typu „spoofing“ – tedy zneužití falešné identity.
Jak uvedl web HelpNetSecurity, jádro problému spočívá v nesouladu mezi tím, jak WhatsApp zobrazuje přílohy a jak je otevírá. Zatímco zobrazení příloh se řídí podle MIME typu (např. obrázek, zvuk, dokument), samotné spuštění se zakládá na příponě souboru (*.jpg, *.exe, *.pdf). Tato nesrovnalost může vést k tomu, že uživatel nevědomky otevře škodlivý soubor, který vypadá neškodně.
Právě tento rozpor mezi zobrazením a skutečným spuštěním příloh může útočníkům umožnit, aby uživatele přiměli ke spuštění škodlivého obsahu, který na první pohled působí jako neškodný soubor. Tato bezpečnostní chyba byla odstraněna ve verzi WhatsAppu pro Windows s označením v2.2450.6.
Podle odborného IT magazínu by tato zranitelnost mohla kyberzločincům nebo tvůrcům špionážního softwaru poskytnout jednoduchý způsob, jak na zařízení obětí nainstalovat škodlivé programy nebo odcizit data.
Profesionální poskytovatelé špionážních nástrojů – například v oblasti státního dohledu nebo organizované kyberšpionáže – však zpravidla spoléhají na ještě sofistikovanější metody.
Mezi ně patří takzvané „zero-click exploity“, tedy zneužití, které nevyžaduje žádnou interakci ze strany uživatele. Takový špionážní software se může na zařízení nainstalovat automaticky – pouhým přijetím zprávy nebo jiného signálu – bez nutnosti, aby uživatel cokoli otevřel nebo na něco klikl.
–etg–
