В начале 2026 года была раскрыта критическая уязвимость CVE-2026-2577, затрагивающая экосистему WhatsApp при использовании стороннего ПО для автоматизации. Проблема получила широкий резонанс из-за того, что позволяла получить полный контроль над аккаунтом без взлома устройства или учётных данных.
Что это за уязвимость
Уязвимость была обнаружена в инструменте Nanobot и связана с тем, как он организует внутреннее взаимодействие между своими компонентами. В частности, WebSocket-сервер, работающий на порту 3001, принимал входящие соединения без какой-либо аутентификации или проверки источника.
Фактически любой пользователь, имеющий сетевой доступ к машине с запущенным Nanobot, мог подключиться к этому порту и управлять связанным аккаунтом WhatsApp. Проверка прав отсутствовала полностью, что превращало внутренний интерфейс в открытую точку входа для атакующего.
Чем это грозит
Эксплуатация CVE-2026-2577 позволяла злоумышленнику:
- читать все входящие сообщения в реальном времени;
- отправлять сообщения от имени жертвы;
- перехватывать QR-коды в момент авторизации;
- угонять сессию ещё до её полноценного создания.
Особенно опасен тот факт, что атака не требовала фишинга, вредоносных ссылок или социальной инженерии. Достаточно было сетевого доступа — что критично для корпоративных сред, облачных серверов и удалённых рабочих станций. Для бизнеса это означает утечки переписок, компрометацию клиентов и репутационные потери.
Как устранить уязвимость
Основные меры защиты сводятся к нескольким шагам:
- Немедленно обновить или отключить уязвимое ПО, если оно используется для работы с WhatsApp.
- Ограничить сетевой доступ к локальным сервисам — WebSocket-серверы не должны быть доступны извне или из недоверенных сегментов.
- Использовать строгую аутентификацию для любых внутренних API и служебных интерфейсов.
- Провести аудит используемых ботов, автоматизаций и интеграций — именно они чаще всего становятся слабым звеном.
Важно понимать: даже если сама платформа WhatsApp остаётся защищённой, сторонние инструменты могут полностью обойти встроенные механизмы безопасности.
Заключение
CVE-2026-2577 — показательный пример того, как одна ошибка в архитектуре превращается в инструмент тотального контроля над аккаунтом. В 2026 году угрозы всё чаще смещаются не в сторону классического «взлома», а в сторону эксплуатации плохо защищённых интеграций и сервисов автоматизации.