Die Sicherheitslücke, die von Googles Cyber-Security-Einheit Project Zero gefunden wurde, gilt als kritisch: Natalie Silvanovich, die den fehlerhaften Code entdeckte, zeigt in einem Posting, wie die App zum Absturz gebracht werden kann - eine Demonstration für Schwachstellen der obersten Kategorie. Das bedeutet, dass die Sicherheitslücke von Angreifern dazu genutzt werden kann, um die Kontrolle über ein fremdes Smartphone zu erlangen, wie unter anderem heise online berichtet.
Der Exploit basiert auf einem Fehler in der Speicherverwaltung von Videoanrufen. Mit einem präparierten Übertragungsprotokoll kann diese so manipuliert werden, dass der Absender per Videoanruf eigenen Code auf andere Smartphones übertragen kann. Somit sind Tür und Tor geöffnet, um Malware oder andere Schadprogramme auf dem betroffenen Gerät zu installieren.
Die Lücke bestand sowohl in der Android- als auch in der iOS-Version von WhatsApp, sie wurde jedoch von den Entwicklern bereits behoben. Alle WhatsApp-Versionen, die nach dem 28. September erschienen sind, sollten somit sicher sein. Die aktuellste Version für iOS trägt die Versionsnummer 2.18.93, bei Android ist es 2.18.302. Allerdings wird laut heise online bei einigen Android-Nutzern nur die Version 2.18.293 im PlayStore angeboten, bei der die Sicherheitslücke noch nicht behoben war. Diese Nutzer sollten bis zur Installation einer sicheren WhatsApp-Version am besten keine Videoanrufe entgegennehmen, zumindest nicht von unbekannten Anrufern.
WhatsApp-Nutzer sollten zudem überprüfen, ob sie die aktuellste Version verwenden. iOS-Nutzer öffnen dazu WhatsApp und tippen auf Einstellungen und Hilfe, die App-Version ist dann in der Dachzeile ablesbar. Android-Nutzer finden die Versionsnummer, indem sie WhatsApp öffnen und dann auf Einstellungen, Hilfe und App-Info tippen. Sollte es sich um eine veraltete Version handeln, wird dazu geraten, ein Update über den App Store (ioS) oder Play Store (Android) durchzuführen.
