WhatsApp用户注意了,Google旗下资安研究团队Project Zero公开一项WhatsApp Android版的安全漏洞,原因在于Meta未能在规定的90天期限内完成完整修补。
根据Google Project Zero团队说明,该漏洞的运作方式是黑客只要先建立一个WhatsApp群组,将受害者与其一名联络人加入群组后,再把该联络人设为管理员,黑客就能在该群组中传送恶意档案。由于WhatsApp预设会自动下载照片、影片、音讯或文件等档案,恶意档案能在受害者完全没有任何操作的情况下,自动下载到手机中。
这些档案会被存入Android系统的MediaStore资料库中,若恶意档案本身具备触发系统漏洞的能力,就可能成为所谓的“零互动式攻击”,让黑客在使用者毫无察觉的情况下发动攻击。
不过,这项漏洞仍有几个前提条件。首先,黑客必须掌握受害者与其联络人的电话号码;其次,恶意档案本身也要具备足够复杂的能力,才能在下载后真正造成伤害。另一方面,如果使用者已启用WhatsApp的进阶隐私功能,或是关闭多媒体自动下载,恶意档案就不会自动下载,风险大幅降低。
Google Project Zero团队早在2025年9月1日就已私下向Meta 通报这项漏洞,并依惯例给予90天修补期限。然而,Meta未能在11月30日前完成完整修补,导致该漏洞被公开。尽管Meta后续仍有补救措施,但该问题可能还未完全解决。值得注意的是,目前仅WhatsApp Android版受影响。
新功能严格帐号设定
值得注意的是,在漏洞消息曝光后,WhatsApp宣布推出全新的“严格帐号设定”功能,若开启此功能,某些帐号设定将会锁定为最严格的设定,并会在某些方面限制WhatsApp 的运作,例如封锁非联络人所传送的附件和影音内容。该功能预计于未来几周内逐步向用户推出。
(示意图)
0
