Meta (признанная экстремистской и запрещённая в России) объявила о запуске нового инструмента под названием WhatsApp Research Proxy. Он предоставлен участникам программы баг-баунти, чтобы упростить анализ сетевого протокола мессенджера и ускорить выявление уязвимостей.
Компания подчёркивает, что WhatsApp остаётся привлекательной целью для государственных структур и разработчиков коммерческого шпионского ПО. Поэтому исследователям необходим удобный доступ к внутренним механизмам платформы.
Кроме того, Meta запускает пилотный проект, приглашающий исследовательские команды изучать случаи злоупотреблений на платформе при поддержке внутренних инженеров и инструментов компании. Цель инициативы — снизить порог входа для академиков и специалистов, которые ранее не участвовали в программе баг-баунти, но хотят работать над безопасностью WhatsApp.
Meta также подвела итоги своей программы: за последние 15 лет компания выплатила более 25 млн долларов более чем 1,400 исследователям из 88 стран. Только в этом году было выдано свыше 4 млн долларов за почти 800 подтверждённых отчётов, всего компания получила около 13 тысяч заявок.
Среди значимых находок — ошибка неполной валидации в некоторых версиях WhatsApp, WhatsApp Business для iOS и WhatsApp для macOS. Она могла позволить пользователю инициировать обработку контента с произвольного URL на устройстве другого человека. Эксплуатация в реальной среде зафиксирована не была.
Отдельно Meta сообщила о выпуске патча на уровне операционной системы для устранения уязвимости CVE-2025-59489, которая позволяла вредоносному приложению на устройствах Quest вмешиваться в работу Unity-приложений и выполнять произвольный код. Проблему обнаружил исследователь RyotaK из Flatt Security.
