WhatsApp用戶注意了,Google旗下資安研究團隊 Project Zero公開指出,WhatsApp Android版存在一項安全漏洞,原因在於 Meta未能在規定的90天期限內完成完整修補。
Project Zero說明,黑客可先建立 WhatsApp群組,將受害者與其一名聯絡人加入後,再把該聯絡人設為管理員,便能在群組內傳送惡意檔案。由於 WhatsApp預設會自動下載照片、影片、音訊或文件,惡意檔案可能在使用者毫無操作的情況下自動下載至手機,並存入 Android的 MediaStore資料庫,進而觸發「零互動式攻擊」。
不過,該漏洞仍有前提條件,包括黑客須掌握相關電話號碼,且惡意檔案本身需具備足夠複雜的攻擊能力。若用戶已關閉多媒體自動下載或啟用進階私隱設定,風險可大幅降低。
Google早在2025年9月1日即通報 Meta,但因未在期限內完成修補而對外公開。目前僅 Android版受影響。另在消息曝光後,WhatsApp宣佈將推出「嚴格帳號設定」功能,封鎖非聯絡人附件與影音內容,預計未來數周內上線。
(示意圖)
