کمیته رکن چهارم– شرکت متا روز سهشنبه ۱۸ نوامبر ۲۰۲۵ اعلام کرد ابزار جدیدی با عنوان «WhatsApp Research Proxy» را در اختیار گروهی از پژوهشگران امنیتی قرار داده تا بررسی آسیبپذیریهای پلتفرم واتساپ را دقیقتر و مؤثرتر انجام دهند. این اقدام با هدف تقویت تحقیقات فنی روی پروتکلهای این پیامرسان صورت گرفته است.
به گزارش کمیته رکن چهارم، این ابزار بخشی از تلاشهای متا برای گسترش برنامه شکار باگ است؛ برنامهای که از سالهای گذشته تاکنون بیش از ۲۵ میلیون دلار جایزه به بیش از ۱۴۰۰ پژوهشگر از ۸۸ کشور پرداخت کرده و در سال جاری میلادی (۲۰۲۵) نیز بیش از ۴ میلیون دلار پاداش بابت حدود ۸۰۰ گزارش معتبر اعطا شده است. بهطور کلی، متا تاکنون حدود ۱۳ هزار گزارش دریافت کرده است.
در میان یافتههای اخیر، یکی از آسیبپذیریهای مهم، نقص اعتبارسنجی در نسخههای مختلف واتساپ و واتساپ بیزینس بوده که امکان اجرای پردازش ناخواسته روی دستگاه دیگر کاربران را فراهم میکرد. همچنین، یک آسیبپذیری جدی با شناسه CVE-2025-59489 (با امتیاز CVSS: 8.4) شناسایی و وصله شده است که به اپلیکیشنهای مخرب اجازه اجرای کد روی دستگاههای Meta Quest را میداد.
از دیگر موارد قابل توجه، افشای گسترده شماره تلفنهای کاربران واتساپ از طریق سوءاستفاده از قابلیت قانونی «کشف مخاطب» بود که منجر به جمعآوری اطلاعات از ۳٫۵ میلیارد شماره در ۲۴۵ کشور شد. پژوهشگران هشدار دادهاند که با بهرهگیری از این نقص، مهاجمان میتوانستند اطلاعات عمومی از جمله شماره، عکس پروفایل، متن About و زمان تغییرات را بازیابی کنند. متا اعلام کرده است هیچ نشانهای از سوءاستفاده مخرب از این روش مشاهده نشده و پیامها همچنان بهصورت رمزنگاریشده ایمن ماندهاند.
همچنین، تحقیق دیگری نشان داده که رسید تحویل پیامها میتواند به ابزار ردیابی کاربران تبدیل شود و از آن برای شناسایی الگوی فعالیت و حتی اجرای حملات پنهان مانند مصرف بیش از حد باتری استفاده شود. متا میگوید مکانیزمهای ضد جمعآوری خود را تقویت کرده و یافتههای پژوهشگران به ارتقای این زیرساختها کمک کرده است.
