Une vulnérabilité importante affectant l’application WhatsApp sur Android a été révélée publiquement par l’équipe Project Zero de Google, après un signalement confidentiel à Meta en septembre 2025.
Cette faille, identifiée par le chercheur Brendon Tiszka, permet un contournement des protections contre les contenus non sollicités, facilitant le téléchargement automatique de fichiers multimédias potentiellement malveillants sans interaction de l’utilisateur. Bien que Meta ait déployé une correction partielle côté serveur début décembre, le problème persiste partiellement !
Le mécanisme d’attaque exploite les fonctionnalités de groupes dans WhatsApp. Un assaillant peut créer un groupe, y ajouter la victime et l’un de ses contacts, puis en faire un administrateur pour diffuser un fichier média qui se télécharge automatiquement sur l’appareil cible via la base de données MediaStore d’Android. Cela ouvre la porte à l’exécution de code malveillant de manière invisible, sans que l’utilisateur n’ait à ouvrir le fichier. Cependant, pour réussir, l’attaquant doit connaître ou deviner les numéros de téléphone impliqués, ce qui limite la portée à des attaques ciblées plutôt qu’à grande échelle.
Les impacts potentiels incluent des infections par des malwares ou des spywares, particulièrement dangereux dans des contextes sensibles comme les communications professionnelles ou activistes. Des cas similaires ont été observés dans des exploits liés à WhatsApp, comme ceux utilisant des formats d’images DNG pour des attaques zero-click ou one-click, selon des analyses de Project Zero. Seule la version Android est concernée, et les utilisateurs avec des paramètres de confidentialité renforcés sont mieux protégés.
Pour se prémunir, les experts recommandent de désactiver le téléchargement automatique des médias dans les paramètres de stockage et de données de WhatsApp, ou d’activer la confidentialité avancée pour les groupes afin d’empêcher les ajouts non autorisés. Meta travaille sur une solution complète, mais en attendant, la vigilance sur les invitations de groupe est conseillée.
Source : Neowin
