Одна из самых популярных платформ для общения оказалась в зоне риска. Сможет ли WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ) преодолеть утрату доверия людей и давление регуляторов? Какие уязвимости угрожают пользователям мессенджера? Состоится ли его блокировка в России?
- Введение
- История уязвимостей и кибератак с использованием WhatsApp*
- Блокировки и запреты WhatsApp*
- Корпоративные мессенджеры как альтернатива WhatsApp*
- Выводы
Введение
Когда-то WhatsApp* считался эталоном удобства и безопасности — простой, быстрый и доступный мессенджер с миллиардами пользователей по всему миру. Интуитивно понятный интерфейс и широкий охват аудитории стали его главными козырями. Однако, у WhatsApp* всегда были проблемы с кибербезопасностью, порой складывалось впечатление, будто мессенджер был просто проходным двором для мошенников и шпионов.
В последние годы репутация сервиса пошатнулась ещё сильнее: одна за другой обнаруживались критические уязвимости, а геополитические конфликты поставили под вопрос его будущее в целых странах. Давайте попробуем оценить общую картину.
История уязвимостей и кибератак с использованием WhatsApp*
WhatsApp* считается одним из самых защищённых мессенджеров благодаря сквозному шифрованию, обеспечивающему конфиденциальность переписки. Но даже такая система оказалась не застрахована от уязвимостей, которые неоднократно использовались злоумышленниками для масштабных атак.
Шпионская программа Pegasus
Одна из самых громких ИБ-историй с WhatsApp* произошла в 2019 году. Израильская компания NSO Group, ныне известная как разработчик шпионского программного обеспечения Pegasus, оказалась в эпицентре масштабного международного скандала. Компания использовала критические уязвимости в мессенджере WhatsApp* для скрытого внедрения своего ПО на телефоны жертв. Это позволило заразить от 1200 до 1400 устройств и получить несанкционированный доступ к микрофонам, камерам и конфиденциальным данным их владельцев.
Среди жертв кибератаки оказались журналисты, правозащитники, активисты и дипломаты, что спровоцировало мощную волну международного возмущения. В ответ на эти действия WhatsApp* и её материнская компания Meta** инициировали судебный процесс в США. После продолжительных разбирательств, в мае 2025 года, федеральный суд вынес решение, обязывающее NSO Group выплатить компенсацию в размере 167 миллионов долларов США. Это стало громкой судебной победой над коммерческим производителем шпионского софта, создавшей важный прецедент для привлечения подобных компаний к юридической ответственности.
NSO Group утверждает, что Pegasus предназначен исключительно для борьбы с терроризмом и тяжкими преступлениями, а соблюдающим закон пользователям не стоит опасаться слежки. Однако, многочисленные расследования, включая проведённые «Проектом “Пегас”» и Citizen Lab, показали использование программы Pegasus для слежки за политическими оппонентами, журналистами и правозащитниками.
Надо заметить, что восемь сотрудников компании NSO Group (некоторые — бывшие) подавали в 2019 году встречное исковое заявление. Они утверждали, что интернет-гигант Facebook (принадлежит Meta, признанной экстремистской и запрещенной в РФ) заблокировал их личные аккаунты в социальной сети и нарушил их конфиденциальность именно из-за их связи с NSO Group.
Рисунок 1. Протесты против NSO Group
В 2021 году министерство торговли США внесло NSO Group в чёрный список, а европейский парламент учредил комитет для расследования применения Pegasus в странах ЕС. Шпионское ПО Pegasus от NSO Group эксплуатировало не требующие взаимодействия с пользователем (0-click) уязвимости в обработке медиафайлов для атак через WhatsApp*.
Уязвимости типа 0-click в WhatsApp*
Уязвимости типа 0-click представляют собой особую категорию киберугроз, при которых злоумышленник может получить контроль над устройством без какого-либо участия жертвы. В отличие от традиционных атак, где требуется открыть вложение или перейти по ссылке, здесь достаточно просто получить сообщение или звонок — даже если пользователь его не просматривал и не отвечал.
WhatsApp* неоднократно становился мишенью для таких атак. Например, в 2019 году была обнаружена критическая уязвимость (CVE-2019-3568) в системе VoIP-звонков мессенджера, позволявшая внедрять вредоносный код через переполнение буфера. Еще более резонансным стал случай в 2021 году, когда всё та же NSO Group продавала 0-click, позволяющий удалённо выполнить код через WhatsApp*, за 1,7 млн долларов США. В обоих случаях атака происходила без какого-либо взаимодействия со стороны пользователя — достаточно было отправить специально сформированное сообщение или инициировать звонок.
Основными мишенями для таких атак чаще всего становятся журналисты, правозащитники, политики и бизнес-лидеры, чьи устройства могут содержать конфиденциальную информацию. Однако риску подвержены и обычные пользователи, особенно если их смартфоны не получают своевременных обновлений.
Основная угроза уязвимостей типа 0-click проистекает из их способности к скрытому воздействию. Компрометация устройства может осуществляться без ведома пользователя, что препятствует своевременному обнаружению инцидента. Следовательно, поддержание высокого уровня цифровой гигиены и систематическое обновление систем безопасности являются необходимыми мерами для минимизации сопутствующих рисков.
Уязвимость CVE-2025-30401
Одна из самых крупных уязвимостей WhatsApp* была обнаружена в апреле 2025 года. Уязвимость CVE-2025-30401 представляет собой критическую угрозу безопасности в WhatsApp* Desktop для Windows, затрагивающую все версии ниже 2.2450.6. Выявлена эта уязвимость была в апреле 2025 года. Суть её заключается в несоответствии между механизмами проверки типа файла: при первичной обработке приложение полагается на MIME-тип, указанный в метаданных, тогда как при непосредственном открытии файла используется исключительно его расширение.
Эксплуатация данной уязвимости становится возможной благодаря созданию специально сформированного файла, где декларируемый MIME-тип соответствует безопасному формату (например, изображению), в то время как фактическое расширение указывает на исполняемый файл. Когда пользователь открывает такой файл, система, игнорируя первоначальную проверку MIME-типа, обрабатывает содержимое файла на основе его расширения, что приводит к удалённому выполнению произвольного кода.
Особую опасность представляет тот факт, что эта уязвимость позволяла обойти стандартные механизмы проверки вложений, маскируя вредоносный код под легитимные файлы. Проблема сохранялась в кодовой базе десктопной версии приложения с момента его создания в 2016 году и была устранена только в обновлении 2.2450.6, где была реализована строгая проверка соответствия между MIME-типом и фактическим содержимым файла перед его открытием.
Для защиты от подобных угроз рекомендуется незамедлительно обновить приложение до последней версии, а также применять дополнительные меры безопасности, такие как политики ограничения программ или обучение пользователей выявлению потенциально опасных файлов с двойными расширениями.
Как WhatsApp* устранял уязвимости
Нужно отдать должное WhatsApp* — его команда последовательно устраняет уязвимости в своем мессенджере. Так, например, в 2019 году разработчики оперативно отреагировали на критическую уязвимость, выпустив исправление уже на следующий день после обнаружения.
Разработчики продолжают активную работу по устранению угроз. В частности, в марте текущего года устранили уязвимость типа 0-click, позволяющую злоумышленникам скрытно устанавливать шпионское приложение Graphite от компании Paragon. Атака происходила через отправку PDF-файла в групповой чат. В итоге автоматически загружался вредоносный модуль, обходящий защиту Android для доступа к другим приложениям.
Аналогичная ситуация произошла в апреле 2025 года, когда в настольной версии WhatsApp* для Windows обнаружили уязвимость CVE-2025-30401. Благодаря внутреннему расследованию и программе вознаграждений (Bug Bounty) проблему устранили в кратчайшие сроки.
Блокировки и запреты WhatsApp*
WhatsApp* регулярно приходится балансировать между требованиями пользователей к конфиденциальности и давлением регуляторов в разных странах. Не всегда этот баланс удаётся соблюсти и это выливается в блокировки.
Блокировка WhatsApp* в Китае
Полная блокировка WhatsApp* в Китае произошла ещё в 2017 году. Процесс развивался поэтапно: сперва были ограничены функции обмена фото и видео, а затем заблокирован и протокол для текстовых сообщений. Главная причина этого — сквозное шифрование мессенджера, не позволяющее властям контролировать переписку.
Одновременно с этим Китай активно продвигал свой мессенджер WeChat, который не использует сквозное шифрование по умолчанию и выполняет требования, выдвигаемые к нему правительством и правоохранительными органами страны.
Блокировка WhatsApp* в Иране
В 2022 году мессенджер был заблокирован в Иране на полтора года после массовых протестов, вызванных гибелью Махсы Амини в полиции нравов. Разблокировка произошла в конце 2024-го, когда Высший совет по информационной безопасности Ирана большинством голосов разрешил работу WhatsApp* и Google Play. Это решение связывали с обещаниями нового президента Масуда Пезешкиана ослабить интернет-цензуру.
В июне 2025 года, на фоне обострения ирано-израильского конфликта, власти Ирана вновь обратились против мессенджера WhatsApp*. Государственное телевидение призвало население к удалению приложения, мотивируя это тем, что оно могло собирать и передавать пользовательские данные Израилю. Учитывая, что NSO Group, базирующаяся в Израиле, уже использовала WhatsApp* в своих интересах, эти опасения не выглядят беспочвенными. Одновременно было сделано предостережение о риске использования любых приложений с функцией геолокации, и в стране наблюдалось почти полное отключение интернета.
В ответ команда WhatsApp* заявила, что все сообщения защищены сквозным шифрованием, компания не отслеживает точное местоположение пользователей и не предоставляет их данные правительствам. Также была выражена обеспокоенность, что такие заявления могут привести к очередной блокировке сервиса в период, когда он является жизненно важным для коммуникации.
Запрет WhatsApp* в палате представителей США
Уязвимости WhatsApp* вызывают беспокойство и на родине мессенджера. В июне 2025 года административная служба Конгресса США запретила использование WhatsApp* на всех устройствах, принадлежащих Палате представителей. Решение мотивировано опасениями по поводу безопасности данных, связанными с недостаточной прозрачностью политики конфиденциальности мессенджера, отсутствием полного шифрования хранилища и потенциальными уязвимостями приложения.
Рисунок 2. Агентство Reuters сообщило о запрете WhatsApp* в Палате представителей США 23 июня
Запрет распространяется на все версии WhatsApp* — мобильную, настольную и веб-исполнение. Это означает, что депутаты Палаты представителей больше не смогут пользоваться WhatsApp* ни на рабочих телефонах, ни на компьютерах.
Вероятность запрета WhatsApp* в России
Уже в первые три месяца 2025 года число атак с использованием WhatsApp* в России выросло в шесть раз. Часто это стандартные фишинговые атаки, но также набирают популярность звонки от имени руководителей компании или даже сотрудников правоохранительных органов.
Хотя компания Meta**, владелец WhatsApp*, признана экстремистской организацией и ее деятельность запрещена в России, сам мессенджер пока не запрещён, но всё больше признаков указывает на возможность его блокировки. Например, в сентябре прошлого года чиновникам в Санкт-Петербурге запретили использовать зарубежные мессенджеры. В декабре 2024 года зампредседателя Совета по развитию цифровой экономики верхней палаты российского парламента Артем Шейкин сообщил РИА Новости, что в 2025 году WhatsApp* могут заблокировать в России, если мессенджер не выполнит требования российского законодательства.
Многих в России уязвимости WhatsApp* смущали давно, из-за чего многие отдавали предпочтение Telegram. Также в российской информационной среде в качестве альтернативы будет предлагаться недавно выпущенный мессенджер MAX, который уже сейчас называют национальным и сравнивают с китайским WeChat.
Более того, согласно федеральному закону № 41-ФЗ, который вступил в силу 1 июня 2025 года, в России запрещено использовать иностранные мессенджеры, такие как Telegram и WhatsApp*, для деловой переписки и общения с клиентами в определённых категориях организаций — например, в банках, операторах связи или госорганах.
Корпоративные мессенджеры как альтернатива WhatsApp*
На фоне ухода зарубежных ИТ-вендоров из России, ограничений доступа к популярным мессенджерам и регулярно выявляемых уязвимостей в WhatsApp* к 2025 году всё больше компаний переходят на корпоративные решения. Российский рынок бизнес-мессенджеров демонстрирует устойчивый рост, достигнув объёма в 10 млрд рублей, при этом на сегодня доступно 15 отечественных разработок.
Этот тренд усиливается в том числе поправками в КоАП РФ, ужесточающими ответственность за утечки персональных данных. Актуальность проблемы подтверждает статистика InfoWatch: в 2024 году количество инцидентов такого рода выросло на треть, причём в половине случаев причиной становились действия сотрудников самой организации-жертвы.
Корпоративные мессенджеры технически схожи с публичными — они используют клиент-серверную архитектуру с аналогичными протоколами (XMPP, SIP). Однако ключевое отличие заключается в дополнительных функциях: централизованном управлении пользователями, контроле коммуникаций и усиленных механизмах защиты данных. Серверная часть таких решений размещается либо в инфраструктуре компании, либо у доверенных облачных провайдеров.
Недавно на Anti-Malware.ru вышел обзор рынка российских корпоративных мессенджеров, с которым мы рекомендуем ознакомиться.
Выводы
История уязвимостей WhatsApp* демонстрирует, что даже один из самых популярных мессенджеров в мире не застрахован от серьёзных угроз. Внедрение шпионского ПО Pegasus через бреши категории 0-click, судебные разбирательства в США и регулярно всплывающие подозрения на наличие встроенных бэкдоров подрывают доверие пользователей.
Более того, уязвимости WhatsApp* — это не просто череда технических сбоев, а отражение сложной геополитической реальности. В эпоху заката прежней модели глобализма и обострения региональных конфликтов безопасность данных начинает играть ключевую роль как в России, так и за её пределами.
Тенденция очевидна: WhatsApp* теряет статус «неприкосновенного» мессенджера. Рост числа атак с его использованием и ужесточение регулирования показывают: эпоха безоговорочного доминирования WhatsApp* подходит к концу. Пользователям стоит задуматься о переходе на более безопасные и контролируемые платформы, особенно если речь идёт о конфиденциальных данных.
* WhatsApp — продукт компании Meta, признанной экстремистской и запрещённой в РФ.
** Компания Meta признана экстремистской в России, её деятельность в РФ запрещена.
