WhatsApp si do Androidu sám stáhne virus, stačí otevřít špatný chat. Upravte nastavení, než bude pozdě
Bezpečnostní tým Google Project Zero odhalil chybu ve WhatsAppu pro Android, která umožní stažení škodlivého souboru do telefonu.
Obsah článku
Funguje to takto: útočník vytvoří novou skupinu na WhatsAppu, přidá do ní oběť a odešle speciálně upravené médium (obrázek, video nebo dokument). WhatsApp na Androidu má ve výchozím stavu zapnuté automatické stahování médií, a právě v kombinaci s nově odhalenou chybou obchází ochranu, která má stahování od neznámých lidí ve hře bránit. Výsledek: škodlivý soubor přijde do telefonu, aniž byste cokoli otevřeli, potvrdili nebo na cokoli klepli. „Virus“ pak v tomto kontextu neznamená, že váš telefon je automaticky infikován ve chvíli, kdy se soubor stáhne. Stažený soubor je takzvaný útočný vektor: nosič, který může cílit na další neopravené zranitelnosti v operačním systému, systémových knihovnách nebo v samotné aplikaci. Je to reálný scénář, ale není to totéž co potvrzená masová nákaza všech uživatelů.
Jak přesně chyba funguje a kdo ji objevil
Chybu nahlásil výzkumník Brendon Tiszka z týmu Google Project Zero, který ji oznámil společnosti Meta 1. září 2025. Oficiální název zní suše: “WhatsApp Android: Contact gating bypass in groups, leading to integrationless media download.” Přeloženo do srozumitelné řeči: obejití kontroly kontaktů ve skupinách, vedoucí ke stažení média bez interakce uživatele.
Nejde o zneužití běžného skupinového chatu. Váš rodinný nebo pracovní skupinový chat sám o sobě není nebezpečný. Problém nastává ve chvíli, kdy vás někdo přidá do nově vytvořené skupiny, která byla připravena právě pro tento typ útoku. Varovné znaky takové skupiny jsou: nečekané přidání, neznámí členové nebo administrátoři a okamžité doručení nevyžádaného obrázku, videa či dokumentu.
Meta chybu opravila 27. ledna 2026, celkem 148 dní od nahlášení. Zajímavé je, že oficiální stránka WhatsApp Security Advisories 2026 tuto konkrétní zranitelnost skupinových chatů samostatně neuvádí, ačkoli obsahuje jiné dvě CVE z téhož roku.
Tři kroky, které byste měli udělat hned
Podle doporučení bezpečnostní firmy Malwarebytes i samotné Mety existuje jasná sada kroků, jak riziko minimalizovat. Žádný z nich nevyžaduje odinstalaci WhatsAppu.
1. Vypněte automatické stahování médií
Otevřete WhatsApp → Nastavení → Úložiště a data → Automatické stahování médií. Najdete tam tři kategorie: mobilní data, Wi-Fi a roaming. U každé odškrtněte všechny čtyři položky:
- Fotografie
- Zvuk
- Video
- Dokumenty
Tímto zajistíte, že se žádné médium nestáhne bez vašeho výslovného souhlasu. Právě toto nastavení je klíčové: ve výchozím stavu má WhatsApp automatické stahování přes Wi-Fi zapnuté a většina uživatelů ho nikdy nezměnila.
2. Omezte, kdo vás může přidávat do skupin
Přejděte do Nastavení → Soukromí → Skupiny a přepněte z „Všichni“ na „Moje kontakty“ nebo ještě lépe „Moje kontakty kromě…“. Pokud někdo mimo vaše kontakty bude chtít přidat do skupiny, dostanete místo toho soukromou pozvánku s třídenní platností. Tuto možnost WhatsApp nabízí už od roku 2019, ale řada lidí o ní neví.
3. Zapněte přísné nastavení účtu
Meta 27. ledna 2026 představila novou funkci: Nastavení → Soukromí → Pokročilé → Přísné nastavení účtu. Funkce blokuje přílohy a média od neznámých odesílatelů. Pokud ji ve svém WhatsAppu zatím nevidíte, zkontrolujte, zda máte nejnovější verzi aplikace; postupné nasazování probíhá v týdnech po oznámení.
Proč nestačí pouze WhatsApp
Samotná oprava chyby ve WhatsAppu řeší jeden konkrétní problém. Jenže jak uvádí technický blog Meta Engineering, škodlivě vytvořená média mohou cílit i na neopravené zranitelnosti v operačním systému nebo jeho mediálních knihovnách. Jinými slovy: i když WhatsApp funguje správně, zastaralý Android může stále představovat riziko.
Google v lednovém Android Security Bulletinu 2026 uvádí, že novější verze Androidu ztěžují zneužití řady chyb. Problém je, že tempo bezpečnostních záplat se liší výrobce od výrobce. Samsung, Xiaomi i Motorola vydávají vlastní bezpečnostní aktualizace a každý je distribuuje jinak rychle. Telefon se starým Androidem a WhatsAppem v základním nastavení je výrazně zranitelnější než aktualizovaný přístroj se zpřísněným nastavením.
Praktické minimum: aktualizujte WhatsApp na nejnovější verzi, zkontrolujte dostupnost systémových aktualizací Androidu a u starších telefonů, které již bezpečnostní záplaty nedostávají, buďte obzvlášť důslední při vypínání automatického stahování.
Týká se to i českých uživatelů?
Project Zero ani Malwarebytes neuvádějí žádná regionální omezení. Chyba funguje podle verze aplikace a operačního systému, ne podle země. Samostatné české varování od Mety jsme nenašli, komunikace probíhala globálně v angličtině. Pro českého uživatele WhatsAppu na Androidu platí stejné riziko i stejné kroky jako pro kohokoli jinde.
Celý scénář útoku navíc není náhodný spam na miliony lidí. Útočník typicky potřebuje znát nebo uhodnout telefonní číslo oběti, aby ji mohl do skupiny přidat. Jde tedy spíše o cílenější scénář než o plošnou kampaň, ale právě proto je prevence důležitá. Kdo má nastavení zpřísněné předem, toho ani cílený pokus nepřekvapí.
Tři minuty v nastavení WhatsAppu mohou ušetřit mnohem víc času než řešení následků. Vypnutý automatický download, omezené skupiny a aktuální systém: to je trojice, která z vašeho telefonu udělá výrazně těžší cíl.