Вышел новый инструмент для поиска уязвимостей в WhatsApp

Екатерина Быстрова 19 Ноября 2025 - 09:37

Домашние пользователи

Корпорации

Средства поиска уязвимостей

Bug Bounty

Уязвимости программ

...

Вышел новый инструмент для поиска уязвимостей в WhatsApp

Meta (признана экстремистской и запрещена в России) объявила о запуске нового инструмента под названием WhatsApp Research Proxy. Его предоставили группе участников программы баг-баунти, чтобы облегчить анализ сетевого протокола мессенджера и ускорить поиск уязвимостей.

Компания объясняет, что WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России) остаётся привлекательной целью для госструктур и разработчиков коммерческого шпионского софта, поэтому исследователям нужен более удобный доступ ко внутренним механизмам платформы.

Кроме того, Meta запускает пилотный проект, в рамках которого приглашает исследовательские команды изучать злоупотребления на платформе при поддержке внутренних инженеров и инструментов. По словам компании, цель — снизить порог входа для академиков и специалистов, которые ранее не участвовали в bug bounty, но хотят работать с безопасностью WhatsApp.

Meta также подвела итоги своей программы: за последние 15 лет компания выплатила более 25 млн долларов более чем 1,400 исследователям из 88 стран. Только в этом году выплачено свыше 4 млн долларов почти за 800 подтверждённых отчётов. Всего Meta получила около 13 тысяч заявок.

Среди важных находок — ошибка неполной валидации в некоторых версиях WhatsApp, WhatsApp Business для iOS и WhatsApp для macOS. Уязвимость могла позволить одному пользователю инициировать обработку контента, загруженного с произвольного URL, на устройстве другого. Эксплуатации «в полях» зафиксировано не было.

Отдельно Meta сообщила о выпуске патча на уровне операционной системы для снижения риска эксплуатации уязвимости CVE-2025-59489. Она позволяла вредоносному приложению на устройствах Quest вмешиваться в работу Unity-приложений и добиваться выполнения произвольного кода. Проблему обнаружил исследователь RyotaK из Flatt Security.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 21:06

iOS Уязвимости программ Ошибки конфигурации программ Домашние пользователи

64% ИИ-приложений для iPhone оказались с дырой в защите

Исследователи из Wake Forest University обнаружили масштабную проблему в экосистеме iOS-приложений с искусственным интеллектом. Анализ показал, что сотни программ фактически оставляют открытыми ключи доступа к нейросетям и серверным компонентам, что позволяет злоумышленникам использовать их инфраструктуру в своих целях.

Для исследования специалисты разработали инструмент LLMKeyLens, который анализирует сетевой трафик приложений и выявляет утечки учетных данных, используемых для работы с OpenAI, Gemini, DeepSeek, Mistral и другими ИИ-сервисами.

Из более чем 38 тысяч приложений App Store исследователи отобрали 444 программы с подтверждёнными функциями на базе больших языковых моделей. Результаты оказались неприятными: у 282 приложений, или 64% выборки, были обнаружены утечки ключей доступа или других механизмов подключения к ИИ-сервисам.

Причем в 146 случаях проблема позволяла напрямую использовать чужие ресурсы. Некоторые приложения передавали API-ключи OpenAI и других провайдеров в открытом виде прямо в сетевых запросах. Другие скрывали ключи на сервере, но оставляли открытыми прокси-серверы, через которые любой желающий мог отправлять запросы к нейросетям.

Особенно часто проблемы встречались в приложениях для продуктивности, обучения, развлечений, здоровья и образа жизни. Лидером по доле уязвимых программ стала категория Health & Fitness.

Исследователи также обнаружили крайне небрежное отношение к защите токенов доступа. В некоторых случаях JWT-токены действовали годами, а отдельные системы выдавали их со сроком действия до 100 лет. Более того, некоторые серверы принимали даже просроченные токены.

После обнаружения проблем разработчиков всех 282 приложений уведомили об уязвимостях. Через 90 дней специалисты провели повторную проверку. Патчи выпустили только 78 приложений — это около 28% от числа уязвимых программ. Еще 66 приложений остались доступными для эксплуатации даже после уведомления.

Авторы исследования считают, что причина проблемы проста: многие разработчики стремятся максимально быстро интегрировать ИИ-функции и уделяют недостаточно внимания защите инфраструктуры.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!