The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Компания Meta переписала часть мессенджера WhatsApp на языке Rust

01.02.2026 11:33 (MSK)

Инженеры из компании Meta* опубликовали отчёт о переработке компонентов мессенджера WhatsApp с использованием языка Rust. В рамках инициативы по усилению безопасности проекта был подготовлен новый вариант библиотеки wamedia, изначально написанной на языке C++ и применяемой в WhatsApp для отправки и обработки мультимедийных файлов в формате MP4.

Мотивом для переработки послужило выявление в wamedia ошибок, возникавших при обработке некорректно оформленных MP4-файлов. Подобные ошибки были устранены и добавлены проверки корректности файлов, но потенциально библиотека представляла угрозу безопасности из-за вероятного наличия ещё не выявленных похожих ошибок и использования библиотеки при автоматической обработке присылаемых данных. Эксплуатация неисправленной уязвимости в wamedia могла бы привести к выполнению кода через отправку пользователю специально оформленных мультимедийных данных, как это недавно было продемонстрировано в библиотеке Dolby Unified Decoder.

Вместо постепенного переписывания wamedia был создан новый вариант библиотеки на языке Rust, который разрабатывался параллельно с оригинальной версией на C++. В конечном счёте удалось заменить около 160 тысяч строк кода на C++ на 90 тысяч строк кода на Rust.

Ключевыми проблемами при задействовании в WhatsApp кода на Rust стало увеличение размера исполняемого файла из-за интеграции стандартной библиотеки Rust и необходимость адаптации системы сборки с сохранением всех поддерживаемых платформ. При этом версия на Rust не только отличалась заметным сокращением числа строк в коде, но и показала прирост производительности и снижение потребления памяти по сравнению в реализацией на C++.

В настоящее время версия WhatsApp с кодом на Rust доведена до пользователей Android, iOS, macOS, Web, носимых устройств и некоторых других платформ. Утверждается, что опыт внедрения Rust в WhatsApp и распространение новой библиотеки wamedia на миллиарды устройств и браузеров показывает готовность к применению языка Rust в глобальном масштабе.

По данным Meta большинство опасных уязвимостей в развиваемых продуктах вызвано проблемами при работе с памятью в коде на C и C++. Для предотвращения появления подобных уязвимостей компания продвигает три стратегии: использование для нового кода языков, безопасно работающих с памятью; снижение поверхности атаки при проектировании; инвестирование в развитие средств для обеспечения безопасности остающегося кода на C и C++.

  1. Главная ссылка к новости (https://engineering.fb.com/202...)
  2. OpenNews: Уязвимость в Android-прошивке Pixel 9, позволяющая выполнить код через отправку сообщения
  3. OpenNews: Методы безопасной работы с памятью позволили существенно снизить число уязвимостей в Android
  4. OpenNews: Уязвимость в эталонных реализациях кодеков AV1 и VP8/VP9
  5. OpenNews: Rust опередил C/C++ по объёму кода, добавляемого в платформу Android
  6. OpenNews: На соревновании Pwn2Own готовы выплатить миллион долларов за уязвимость в WhatsApp
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64719-whatsapp
Ключевые слова: whatsapp, rust
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 12:00, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +5 +/
    Хоть бы подробности рассказали: какую модель использовали, что было в AGENTS.md... А так "переписывать" сейчас все горазды 😁
     
     
  • 2.10, нах. (?), 12:12, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    кстати, да, странно что нет еще победоносного отчета о том сколько из этих строк напереписывала за них модель.

    инвесторы любят ии-бредятину

     
     
  • 3.15, Аноним (15), 12:18, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > инвесторы любят ии-бредятину

    Заезженный бред. Посмотрите на отчёты, акции падают при упоминании ии.

     
     
  • 4.42, нах. (?), 12:57, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    nvidia и openai уже банкроты, я надеюсь? (да, я помню про идею кредитнуть деньгами л...инвесторов однодневку с нулевой ответственностью, заключить с ней же контракт на строительство datacenters, поставки собственных плат и так далее, но это на случай если убытки таки будут - если будут прибыли, то денежки л..инвесторов не пропали окончательно)

     
     
  • 5.51, Аноним2 (?), 13:04, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, nvidia и openai банкроты и извинились перед всем человечеством, потому что впадение в крайности при ответе на opennet является аргументом.
     

  • 1.4, Кошкажена (?), 12:01, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А Паша Дуров пишет безопастно на С++ свой мессенджер. Вот и думайте!
     
     
  • 2.8, Аноним (8), 12:09, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Не хочу. Подумай за меня, пожалуйста!
     
     
  • 3.31, Аноним (31), 12:46, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > увеличение размера исполняемого файла из-за интеграции стандартной библиотеки Rust

    До сих пор только статика...

     
  • 2.13, Аноним (15), 12:16, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Паша Дуров использует легаси версии библиотек при сборке официального бинарника.
     
  • 2.17, Аноним (17), 12:22, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Паша просто пишет, ну не сам лично, конечно, а не кичится безопастностью.
     
     
  • 3.23, Аноним (23), 12:27, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Ещё как кичится, только вот сквозное шифрование есть в "секретных чатах" в отличии от Signal/WhatsApp.
     
  • 2.22, Karl Richter (ok), 12:27, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Поэтому его ломают без проблем.
     
     
  • 3.24, Кошкажена (?), 12:28, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Поэтому его ломают без проблем.

    Можно ссылки?

     
     
  • 4.34, Аноним (31), 12:49, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Можно. Сразу по прибытию во Францию сломали и посадили.
     
     
  • 5.45, сцукенберг (?), 12:58, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    а я вот не дурак и во франции ничего не забыл!

     
  • 2.29, laindono (ok), 12:43, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Телегу можно хвалить за что угодно, кроме кода и протокола. Некоторые решения не странные или спорные, они безумные.
     
     
  • 3.35, Кошкажена (?), 12:51, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > кроме кода

    А код сабжа вы, конечно, тоже видели?

     
     
  • 4.39, Аноним (-), 12:55, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > А код сабжа вы, конечно, тоже видели?

    Код вот, в чем проблема?
    github.com/telegramdesktop/tdesktop

     
     
  • 5.47, Кошкажена (?), 12:59, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >> А код сабжа вы, конечно, тоже видели?
    > Код вот, в чем проблема?
    > github.com/telegramdesktop/tdesktop

    1. Речь про код ватсапа, который закрыт. Но аноны делают о нем какие-то выводы.
    2. Что не так с кодом tdesktop? Конкретные примеры.

     
     
  • 6.62, Аноним (-), 13:15, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > 1. Речь про код ватсапа, который закрыт.

    Вы хоть смотрите на что отвечаете "Телегу можно хвалить за что угодно, кроме кода"

    > 2. Что не так с кодом tdesktop? Конкретные примеры.

    Это вопрос адресуйте другому комментатору.

     
  • 3.64, нах. (?), 13:17, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Телегу можно хвалить за что угодно, кроме кода и протокола.

    да, товарищ майор очень, очень ее хвалили!

     
  • 2.32, Аноним (-), 12:46, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > А Паша Дуров пишет безопастно на С++ свой мессендже

    У Паши такие же "типикал сишные дырени" вроде
    CVE-2021-31320 Telegram Android, iOS, and macOS Heap Buffer Overflow
    CVE-2021-31321 Telegram Android, iOS, and macOS gray_split_cubic Stack Buffer Overflow

    Причем часть с эксплойтами.
    Народ потом удивляется "Мне фотку/видосик/стикер прислали и телега стала странно работать, как же так?!"

     
     
  • 3.41, Кошкажена (?), 12:56, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >> А Паша Дуров пишет безопастно на С++ свой мессендже
    > У Паши такие же "типикал сишные дырени" вроде
    > CVE-2021-31320 Telegram Android, iOS, and macOS Heap Buffer Overflow
    > CVE-2021-31321 Telegram Android, iOS, and macOS gray_split_cubic Stack Buffer Overflow

    У этих средний уровень, к тому же они в сторонней библиотеке rlottie. За все время там 2 высокие уязвимости одна из которых в вебе.

     
     
  • 4.65, Аноним (-), 13:19, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > У этих средний уровень

    Вы издеваетесь? Или читаете жо... не глазами?

    nvd.nist.gov/vuln/detail/CVE-2021-31320  Base Score:  7.1 HIGH
    nvd.nist.gov/vuln/detail/CVE-2021-31321  Base Score:  7.1 HIGH

    Как переводится слово HIGH с ангельского? Как "средний уровень", да?

    Никогда растохейтеры не показывали свою некомпетентность и вот опять)))

     
  • 2.48, Аноним (48), 12:59, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >пишет безопастно на С++

    Сам лично пишет). Кстати как там Николай)

     

  • 1.5, Кошкажена (?), 12:05, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > по усилению безопасности
    > представляла угрозу безопасности
    > безопасно работающих с памятью

    Прочитав эту новость вы получите +3 к безопасности!

     
     
  • 2.6, Аноним (23), 12:06, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    https://blog.whatsapp.com
     

  • 1.9, нах. (?), 12:11, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    ага, примитивный питоновский скрипт переписать за десять лет ниасилили (асилили но он... ой... что-то ниработал) зато целую аж библиотеку делающую незнамочего незнамозачем - ууух, переписали-переписали.

    Верим, чо, конечно верим. Пойду акций меты прикуплю на сдачу.

    (инвесторы любят безопастный бред)

     
     
  • 2.14, Аноним (23), 12:17, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >Пойду акций меты прикуплю

    Лучшая твоя идея за всё время.
    Рост за последние десять лет на 568%.

     
     
  • 3.20, Аноним (17), 12:25, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Но только прикупать надо безопастно.
     
  • 3.53, нах. (?), 13:04, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    ну ты беги, покупай-покупай.

    > Рост за последние десять лет на 568%.

    машину времени не одолжишь? Я тебе вернувшись в настоящее - с 10% скидкой перепродам!

    (а пока рекомендую вменяемым, которые покупают когда _дешево_, а когда дорого - продают - если есть лишние бабки, сложить их кучкой и ждать п-ца битка. Уже недолго, может пару недель, может пару месяцев.)

     

  • 1.11, Аноним (23), 12:14, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >инвестирование в развитие средств для обеспечения безопасности остающегося кода на C и C++

    Это очень хорошо, тем более, что после всех козней он всё ещё самый популярный мессенджер:
    - https://3dnews.ru/1136052/
    - https://habr.com/ru/news/988656/

     
  • 1.12, Аноним (15), 12:14, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    И зачем эта новость здесь? Проприетарное поделие, официального клиента под Linux нет.
     
     
  • 2.16, Аноним (23), 12:21, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Из-за перевода на Rust.
     
  • 2.26, Аноним (23), 12:31, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >клиента под Linux

    Берите Signal: https://signal.org/ru/download/linux/

     
     
  • 3.28, name (??), 12:38, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не берите, требует номер телефона.
     
     
  • 4.37, Аноним (23), 12:52, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    А какая ещё есть защита от ботов ? Все крупные проекты используют номер.
     
     
  • 5.43, Аноним2 (?), 12:57, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    И как, помогает? Ответ: нет, не помогает.
     
  • 4.54, нах. (?), 13:05, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    они ж вроде даже начали последние пол-года шевелиться, не?
    (но не берите, конечно, дело не в номере, а в том что палево)

     

  • 1.18, Аноним (-), 12:24, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > we replaced 160,000 lines of C++ (excluding tests)
    > with 90,000 lines of Rust (including tests)

    Это сильно. А ведь тут ныли про многословность раста.
    Впрочем... тут про все ноют))

    Но больше всего радует: "Default the choice of memory safe languages, and not C and C++, for new code."
    Дырявые языки должны отправиться на помойку истории :)

    Ну и чтобы обрадовать всех хейтеров
    "Rust was fully rolled out to all WhatsApp users and many platforms: Android, iOS, Mac, Web, Wearables"
    "Each month, these libraries are distributed to billions of phones, laptops, desktops, watches, and browsers"

     
     
  • 2.21, Кошкажена (?), 12:26, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >> we replaced 160,000 lines of C++ (excluding tests)
    >> with 90,000 lines of Rust (including tests)
    > Это сильно. А ведь тут ныли про многословность раста.

    Ссылку на код приведи, а мы посмотрим что там и как. Ой, а в чем проблема?


     
     
  • 3.38, Аноним (31), 12:54, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Я переписал 90000 строк раста на 1000 строк паскаля. Теперь в коде нет пока не обнаруженных логических ошибок раста в проверке входных данных во время выполнения курл | судо баш.
     
  • 2.25, Аноним (17), 12:28, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Это потому, что ещё не далеко не всю функциональность старой библиотеки переписали. Но об этом молчок.
     
     
  • 3.56, нах. (?), 13:06, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    "ещё" у тебя лишнее. "Разумеется, никто даже и не собирался!"

     

  • 1.30, Аноним (30), 12:44, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Лучше бы про иск написали https://www.reddit.com/r/technology/comments/1qoo6ha/lawsuit_alleges_that_what
     
     
  • 2.52, Аноним (23), 13:04, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Пока там всё сводится к тому, что "есть информаторы, которые утверждают". А в иске не приводятся никаких технических подробностей.
     
     
  • 3.55, Аноним (23), 13:05, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    WhatsApp использует Signal Protocol:
    https://en.wikipedia.org/wiki/WhatsApp#End-to-end_encryption
     
     
  • 4.63, нах. (?), 13:15, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    ну в целом это никак не может мешать _параллельно_ сливать копию переписки в бездонные закрома. Но хотелось бы верить что таких вот переписывателей на даже пусть и опасных язычках у сцкенберга просто нет и взять их неоткуда.
    Приличные люди в эту помойку работать не пойдут.

    А первоначальный код писали люди с совершенно другими моральными принципами.

     
  • 3.58, нах. (?), 13:09, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    ну вот кстати - это таки повод акциев прикупить. Но надо быть миллиардером чтоб на этом чего-то существенного заработать.

     

  • 1.40, Аноним (31), 12:56, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Исходный код раст-версии библиотеки где-то открыт?
     
  • 1.44, Аноним (31), 12:57, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > удалось заменить около 160 тысяч строк кода на C++ на 90 тысяч строк кода на Rust

    Потому что комментарии удалили.

     
     
  • 2.46, Аноним (31), 12:58, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    P.S. И строки стали длиннее.
     
  • 2.57, нах. (?), 13:08, 01/02/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  • 1.50, Аноним (50), 13:00, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > Ключевыми проблемами при задействовании в WhatsApp кода на Rust стало увеличение размера исполняемого файла из-за интеграции стандартной библиотеки Rust

    Ну, собственно, главная проблема rust - это статическая линковка. Язык настолько "крутой", что динамическую не осилили.

     
     
  • 2.59, Аноним (-), 13:11, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > что динамическую не осилили.

    И как показала практика - отсутствие сишных дыреней важнее экономии пары байт.
    Потому что они динамическую рано или поздно осилят, а недоязычки от дидов не исправить никак.

     
  • 2.61, нах. (?), 13:13, 01/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    нет, это вообще не проблема (глядя на поделки на go), это скорее решение. Да, с очевидными минусами, но таки решение. (напоминаю что д-36-л на зарплате от правильных пацанов сломал нам статическую сборку си-кода еще в нулевых - и с тех пор ее никто не сможет починить) Причем вернуть как было - достаточно просто. Но никому пока что не понадобилось - зачем, все ж и так работает.

    проблема в чудовищности синтаксиса и этой самой "стандартной библиотеки", и невозможности поддержки платформ отличных от линукса, винды, винды, винды и еще вот - webasm. На аж двух архитектурах.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру