Meta aduce schimbări importante în ecosistemul WhatsApp pentru a combate vulnerabilitățile tot mai sofisticate care vizează aplicația. Gigantul tech a anunțat lansarea WhatsApp Research Proxy, un nou instrument pus la dispoziția unor cercetători de încredere din programul de bug bounty. Alături de acesta vin investiții masive în securitate: peste 4 milioane de dolari acordate doar în acest an pentru raportări valide, semnalând presiunea uriașă la care este supusă platforma și ambiția Meta de a o consolida.
Un nou instrument pentru cercetători și o strategie gândită pe termen lung
WhatsApp Research Proxy este gândit să simplifice accesul cercetătorilor la tehnologiile interne ale aplicației, în special la protocolul său de rețea, o zonă intens vizată de actori statali sau firme specializate în spyware. Prin acest proxy, Meta încearcă să reducă barierele tehnice pentru specialiști, permițându-le să analizeze în detaliu mecanismele de funcționare ale WhatsApp, fără a compromite securitatea utilizatorilor.
Compania pregătește și un program-pilot în care grupuri de cercetare sunt invitate să investigheze abuzurile de platformă, având acces ghidat la instrumente interne și la suportul inginerilor Meta. Scopul declarat este creșterea numărului de experți implicați în identificarea problemelor reale, nu doar a vulnerabilităților tehnice clasice.
Aceste mișcări vin pe fondul unei istorii solide: în ultimii 15 ani, Meta a acordat peste 25 de milioane de dolari cercetătorilor din 88 de țări, dintre care 4 milioane doar în 2025, ca răspuns la aproape 800 de rapoarte valide dintr-un total de 13.000 trimise.
Vulnerabilități descoperite și măsuri de protecție implementate
Printre cele mai notabile probleme recent rezolvate se numără un bug de validare incompletă care afecta WhatsApp înainte de versiunea 2.25.23.73, WhatsApp Business pentru iOS și WhatsApp pentru Mac. Vulnerabilitatea permitea unui atacator să forțeze procesarea unui fișier de pe un URL arbitrar pe dispozitivul victimei, ceea ce putea duce la scenarii periculoase. Meta a confirmat că nu există dovezi că această breșă ar fi fost exploatată.
În plus, compania a lansat un patch la nivel de sistem de operare pentru Quest, remediind CVE-2025-59489 — o vulnerabilitate cu scor CVSS 8.4. Aceasta permitea aplicațiilor malițioase să manipuleze aplicații Unity pentru a executa cod arbitrar, o problemă descoperită de cercetătorul RyotaK.
Pe partea de protecție a datelor, Meta a introdus noi mecanisme anti-scraping pentru WhatsApp după ce un studiu academic a arătat că se pot enumera account-uri la scară globală, inclusiv ale utilizatorilor din țări în care aplicația e interzisă. Studiul a evidențiat un comportament neașteptat: serverele WhatsApp nu limitau suficient cererile repetate, ceea ce a permis cercetătorilor să creeze un set de date cu 3,5 miliarde de numere.
Cercetătorii au subliniat că nu au existat indicii ca această metodă să fi fost folosită în scopuri malițioase, iar Meta a confirmat că toate datele colectate au fost șterse în siguranță. Totuși, vulnerabilitatea a ridicat semne de întrebare cu privire la metodele de descoperire a contactelor și la modul în care acestea pot fi exploatate pentru profilare, chiar dacă mesajele rămân protejate prin criptare end-to-end.
Probleme persistente și studii care arată riscuri ascunse
Meta a recunoscut și alte posibile breșe conceptuale din ecosistemul WhatsApp, după publicarea studiului Careless Whisper. Acesta a demonstrat că rapoartele de livrare pot fi folosite pentru a monitoriza activitatea unui utilizator fără știrea lui, doar prin trimiterea unor mesaje special construite. În scenarii mai grave, un atacator ar putea deduce programul zilnic al victimei, numărul de dispozitive asociate, tipul acestora și chiar provoca atacuri de epuizare a bateriei sau datelor mobile.
Astfel de scenarii au determinat Meta să accelereze implementarea de noi măsuri de protecție, inclusiv filtre care limitează comportamente automatizate și o inspecție mai riguroasă a traficului neobișnuit.
Pe termen lung, compania pare să adopte o strategie dublă: pe de o parte, dorește să deschidă ușa cercetătorilor independenți prin instrumente precum Research Proxy; pe de altă parte, intensifică măsurile pro-active împotriva atacurilor avansate, într-un climat în care WhatsApp devine din ce în ce mai mult o țintă strategică pentru entități cu resurse considerabile.
Pentru utilizatori, vestea bună este că platforma continuă să investească masiv în securitate, iar pentru comunitatea de cercetare, Meta oferă acces fără precedent la infrastructura WhatsApp. Rămâne de văzut dacă aceste măsuri vor limita în mod eficient abuzurile într-un ecosistem în care amenințările evoluează mai rapid decât oricând.