Безопасно ли использовать WhatsApp?

Новый судебный иск(новое окно) снова ставит безопасность WhatsApp в центр внимания. Аттаулла Баиг, бывший глава службы безопасности приложения, утверждает, что Meta игнорировала критические уязвимости, которые позволяют сотням сотрудников получить доступ к чувствительным данным пользователей, и не смогла остановить массовые взломы аккаунтов. Meta отрицает эти заявления, но для 3 миллиардов пользователей WhatsApp(новое окно) вопрос остается прежним: действительно ли безопасно использовать WhatsApp?

• Безопасен ли WhatsApp для конфиденциальных чатов?
• Почему на Meta подали в суд из-за проблем с конфиденциальностью WhatsApp?
• Каковы риски безопасности и конфиденциальности WhatsApp?
  • Вредоносные и шпионские программы
  • Эксплойты нулевого клика
  • Подмена SIM-карт и мошенничество с кодами подтверждения
  • Раскрытые метаданные
  • Массовая утечка 3,5 миллиардов телефонных номеров WhatsApp
  • Таргетированная реклама на всех платформах Meta
  • Обучение Meta AI
• Как оставаться в безопасности в WhatsApp
• Выберите более конфиденциальное приложение для обмена мгновенными сообщениями

Безопасен ли WhatsApp для конфиденциальных чатов?

Несмотря на заявления в иске, сквозное шифрование (E2EE) WhatsApp остается нетронутым. Ничто не указывает на то, что протокол шифрования WhatsApp был взломан или что Meta может читать содержание ваших переписок. Это означает, что ваши тексты, фотографии и голосовые вызовы по-прежнему защищены от внешнего доступа, включая саму Meta.

Однако WhatsApp может читать ваши метаданные (с кем вы разговариваете, когда и т. д.) и, в зависимости от того, где вы живете, делится этими данными с Meta. Таким образом, его безопасность зависит от того, сколько информации вы хотите сохранить конфиденциальной.

Почему на Meta подали в суд из-за проблем с конфиденциальностью WhatsApp?

Аттаулла Баиг, который руководил командой безопасности WhatsApp с 2021 по 2025 год, говорит, что приложение далеко не так конфиденциально, как утверждает Meta. В своем иске он заявляет, что около 1500 сотрудников имеют доступ к чувствительной информации пользователей, включая местоположение, фотографии профиля, членство в группах и списки контактов.

Если эти утверждения верны, они прояснят позицию WhatsApp в отношении сквозного шифрования(новое окно): Ваши сообщения конфиденциальны, но ваше местоположение, фотографии профиля, членство в группах и списки контактов — нет. Такой неограниченный доступ открывает дверь для внутренних угроз и утечек данных, когда чувствительная информация может быть украдена и продана в темной Сети.

Бывший начальник службы безопасности утверждает, что такой уровень доступа также может нарушать обязательный приказ правительства США, который заставил Meta (тогда Facebook) выплатить рекордный штраф в размере 5 миллиардов долларов в 2020 году(новое окно) после скандала с Cambridge Analytica.

Он также утверждает, что компания игнорировала более 100 000 ежедневных захватов аккаунтов и отклоняла предложенные им исправления. Согласно иску, когда Баиг поднял эти вопросы перед высшим руководством, включая Марка Цукерберга, Meta уволила его.

Meta отвергла претензии Баига и объяснила его увольнение плохой работой. Обвинения также привлекли политическое внимание: сенаторы требуют от Цукерберга(новое окно) ответов о методах обеспечения безопасности WhatsApp.

Иск Баига был подан всего через несколько дней после того, как группа из шести нынешних и бывших сотрудников Meta(новое окно) заявила, что компания скрывала доказательства того, что дети подвергались грумингу, домогательствам и насилию на ее платформах виртуальной реальности. Meta также отвергла эти обвинения.

Каковы риски безопасности и конфиденциальности WhatsApp?

Учитывая, как WhatsApp обрабатывает данные пользователей, вот риски безопасности и конфиденциальности, с которыми вы можете столкнуться при использовании этого приложения:

Вредоносные и шпионские программы

Вредоносные приложения или ссылки могут установить шпионское ПО на ваш телефон, позволяя злоумышленникам перехватывать сообщения или коды. Одним из примеров является PixPirate(новое окно), вредоносная программа для Android, впервые замеченная в Бразилии, где она атаковала систему мгновенных платежей страны, Pix. С тех пор ее наблюдали в Индии, Мексике и Италии. Ее цель — украсть банковские учетные данные, перехватить коды двухфакторной аутентификации (2FA), инициировать несанкционированные переводы Pix с аккаунта жертвы и заблокировать попытки удалить ее или отключить Google Play Protect.

Злоумышленники использовали WhatsApp для распространения PixPirate. Если вредоносная программа не обнаружит WhatsApp на устройстве(новое окно), она скачает его, чтобы отправить больше вредоносных ссылок контактам.

Эксплойты нулевого клика

В 2025 году исследователи обнаружили атаку нулевого клика, которая позволяла хакерам взламывать iPhone и Mac через WhatsApp(новое окно) без нажатия пользователями на что-либо. Эксплойт объединял две уязвимости: одну в том, как macOS и iOS обрабатывали изображения, и другую в функции привязки устройств WhatsApp.

Киберпреступники могли доставлять шпионское ПО пользователям Apple через сообщения WhatsApp и красть данные с их устройств, включая сообщения. Meta заявила, что пострадало менее 200 пользователей, и как Apple, так и WhatsApp с тех пор устранили уязвимости.

В том же году отдельная уязвимость нулевого клика затронула устройства Samsung (CVE-2025-21042(новое окно)). Злоумышленники могли скомпрометировать телефоны Galaxy, отправив вредоносный файл изображения, при этом никакого взаимодействия не требовалось. Этот эксплойт использовался в целевых кампаниях шпионского ПО, пока Samsung не исправила проблему в своем обновлении безопасности от апреля 2025 года.

Подмена SIM-карт и мошенничество с кодами подтверждения

Злоумышленники могут обманом заставить вашего мобильного оператора перенести ваш номер телефона на новую SIM-карту, которую они контролируют. Затем они могут обманом заставить вас поделиться шестизначным кодом, который WhatsApp отправляет по смс при настройке нового устройства. Если вы передадите его, злоумышленники могут захватить ваш аккаунт, заблокировать вам доступ, украсть ваши личные данные и использовать ваш профиль для обмана ваших контактов. Полиция Саутуорка, Лондон, сообщила о всплеске таких атак в 2021 году(новое окно), выпустив предупреждение для людей никогда не делиться своими кодами WhatsApp.

Раскрытые метаданные

Чаты могут быть зашифрованы сквозным методом, но WhatsApp (и его родительская компания Meta) все равно собирает метаданные — например, с кем вы разговариваете, как часто, информацию о вашем устройстве и местоположении. Метаданные нельзя использовать для вашей прямой идентификации, но их можно сопоставить с другой информацией, чтобы повторно идентифицировать вас(новое окно). И поскольку Meta базируется в США, она может поделиться всем, что знает о вас, с правительством США без уведомления.

Массовая утечка 3,5 миллиардов телефонных номеров WhatsApp

В 2025 году группа независимых австрийских исследователей обнаружила(новое окно) уязвимость конфиденциальности в WhatsApp, которая позволила им извлечь 3,5 миллиарда телефонных номеров — наряду с фотографиями профиля, информацией об устройстве, временными метками, текстом «о себе» и бизнес-информацией — используя легко воспроизводимый метод перебора телефонов. О той же уязвимости впервые сообщили в 2017 году, но Meta не устранила ее. Важно отметить, что ни о каких подтвержденных утечках данных WhatsApp, в которых использовался бы этот конкретный метод, публично не сообщалось.

Хотя ваш номер телефона и метаданные не идентифицируют вас напрямую, их можно сопоставить с другими данными, чтобы раскрыть вашу личность. Возможно, вы используете одну и ту же фотографию профиля на разных социальных платформах, или вы были частью прошлых утечек данных, где ваши электронные письма, имена пользователей или местоположение были раскрыты — все это может быть связано с вашими метаданными WhatsApp.

Исследователи также получили открытые ключи, используемые для сквозного шифрования WhatsApp, и обнаружили серьезные проблемы, включая повторное использование ключей шифрования сотни раз в разных аккаунтах и многократное появление одноразовых предварительных ключей, хотя они должны генерироваться заново для каждого сеанса.

Эти проблемы безопасности указывают на использование неофициальных или мошеннических клиентов WhatsApp с нарушенным шифрованием. Если вы используете эти модифицированные приложения, ваши сообщения могут быть уязвимы для перехвата, дешифрования или подделки аккаунта.

Meta заявила, что исправила проблему перебора, преуменьшила чувствительность раскрытых данных и не решила проблемы с открытыми ключами или тот факт, что ее предупреждали об этом серьезном недостатке почти десять лет назад.

Таргетированная реклама на всех платформах Meta

WhatsApp заявляет, что не использует содержание сообщений для рекламы(новое окно), но использует другие данные — например, информацию об аккаунте (код страны, возраст), информацию об устройстве (язык, местоположение) и активность в статусах и каналах (что вы просматриваете, на что подписаны или на что нажимаете). Поскольку WhatsApp является частью Meta, этими данными можно поделиться между Facebook и Instagram, хотя этот обмен данными ограничен в Европе благодаря GDPR.

С тех пор как WhatsApp изменил свою политику конфиденциальности в 2021 году, он также делится данными о платежах и транзакциях, которые вы могли совершать с компаниями, с Meta (тогда Facebook). Если вы подключите WhatsApp к Центру аккаунтов Meta, ваши настройки рекламы объединятся, а это означает, что действия в WhatsApp могут влиять на рекламу, которую вы видите в других местах. А с новыми функциями на базе Meta AI обмен данными между платформами вызывает еще больше опасений.

Обучение Meta AI

Meta AI встроен в WhatsApp, Facebook и Instagram, вызывая опасения по поводу того, как данные обрабатываются, используются для обучения ИИ и распространяются на этих платформах.

В WhatsApp Meta заявляет, что Meta AI не имеет доступа к вашим конфиденциальным, зашифрованным сквозным методом чатам. Однако подсказки и обратная связь, которыми вы делитесь с Meta AI, могут сохраняться и использоваться для улучшения его моделей. WhatsApp также предлагает функцию сводки переписки, которая опирается на «конфиденциальную обработку»(новое окно), что, по утверждению Meta, предотвращает чтение сводок компанией или кем-либо еще.

Даже с этими заверениями остаются опасения по поводу того, какой контроль люди на самом деле имеют над своими данными. Например, пользователи Facebook сообщали, что Meta AI включал настройки, которые позволяли ему сканировать неопубликованные фотографии из их фотопленки без их согласия.

Как оставаться в безопасности в WhatsApp

Вот что вы можете сделать, чтобы улучшить свою конфиденциальность и безопасность при использовании WhatsApp:

• Всегда используйте официальные приложения WhatsApp из App Store или Google Play, чтобы гарантировать правильную работу сквозного шифрования.
• Включите уведомления безопасности на телефоне, чтобы получать оповещения, когда контакт переустанавливает WhatsApp, меняет телефон или добавляет/удаляет связанное устройство.
• Создайте ключ доступа, чтобы входить в WhatsApp с помощью лица, отпечатка пальца или блокировки экрана. Это не даст кому-то другому войти в систему, даже если они получат ваш код из смс.
• Добавьте адрес электронной почты, чтобы подтвердить или восстановить свой аккаунт, если вы потеряете к нему доступ. Убедитесь, что ваша электронная почта сама защищена надежным паролем и двухфакторной аутентификацией.
• Включите зашифрованные сквозным методом резервные копии, чтобы защитить свои чаты в iCloud или Google Drive, чтобы даже Apple, Google или Meta не могли их прочитать. WhatsApp не позволяет вам выбирать провайдера облачного хранилища. В противном случае вам следует полностью отключить резервное копирование чатов.
• Никогда не делитесь своим шестизначным кодом подтверждения ни с кем. WhatsApp и Meta никогда не спросят его.
• Попросите своего мобильного оператора добавить PIN-код или кодовую фразу, прежде чем ваш номер можно будет перенести на другую SIM-карту. Это значительно усложняет подмену SIM-карты.
• Скачивайте WhatsApp только из Google Play или App Store и поддерживайте его — а также вашу мобильную и настольную операционную систему — обновленным до последней версии.
• Никогда не нажимайте на ссылки и не устанавливайте приложения от неизвестных или подозрительных контактов WhatsApp. Если вы не уверены в контакте, свяжитесь с ним другим способом, чтобы подтвердить его личность.
• Усильте свои (новое окно)настройки конфиденциальности WhatsApp(новое окно), ограничив тех, кто может добавлять вас в группы и видеть ваше фото профиля, время последнего посещения и онлайн-статус, раздел “о себе” и ссылки в вашем профиле.
• Вы не можете полностью отключить Meta AI в WhatsApp, но вы можете предпринять шаги, чтобы он не узнавал слишком много из вашей активности — и защитить свои сообщения от попадания в данные для обучения ИИ.

Выберите более конфиденциальное приложение для обмена мгновенными сообщениями

Хотя вы можете предпринять шаги для повышения безопасности и ограничения того, что могут видеть другие пользователи WhatsApp, это не меняет того факта, что Meta по-прежнему полагается на сбор информации о пользователях, такой как метаданные, для получения дохода. Если недавние заявления информатора верны, этот доступ может быть еще шире, чем признает компания. Учитывая историю нарушений конфиденциальности Meta, некоторый скептицизм оправдан.

Если вас беспокоит такой уровень контроля, рассмотрите более конфиденциальную альтернативу WhatsApp, которая собирает гораздо меньше данных и не привязана к компании Big Tech, оштрафованной регуляторами за ее рекламную модель “плати или соглашайся”.