粉絲團
Google Project Zero資安團隊揭露WhatsApp Android有重大漏洞。(圖/路透社)
WhatsApp用戶注意了,Google旗下資安研究團隊Project Zero公開一項WhatsApp Android版的安全漏洞,原因在於Meta未能在規定的90天期限內完成完整修補。
根據Google Project Zero團隊說明,該漏洞的運作方式是駭客只要先建立一個WhatsApp群組,將受害者與其一名聯絡人加入群組後,再把該聯絡人設為管理員,駭客就能在該群組中傳送惡意檔案。由於WhatsApp預設會自動下載照片、影片、音訊或文件等檔案,惡意檔案能在受害者完全沒有任何操作的情況下,自動下載到手機中。
這些檔案會被存入Android系統的MediaStore資料庫中,若惡意檔案本身具備觸發系統漏洞的能力,就可能成為所謂的「零互動式攻擊」,讓駭客在使用者毫無察覺的情況下發動攻擊。
不過,這項漏洞仍有幾個前提條件。首先,駭客必須掌握受害者與其聯絡人的電話號碼;其次,惡意檔案本身也要具備足夠複雜的能力,才能在下載後真正造成傷害。另一方面,如果使用者已啟用WhatsApp的進階隱私功能,或是關閉多媒體自動下載,惡意檔案就不會自動下載,風險大幅降低。
Google Project Zero團隊早在2025年9月1日就已私下向 Meta 通報這項漏洞,並依慣例給予90天修補期限。然而,Meta未能在11月30日前完成完整修補,導致該漏洞被公開。儘管Meta後續仍有補救措施,但該問題可能還未完全解決。值得注意的是,目前僅WhatsApp Android版受影響。
新功能嚴格帳號設定
值得注意的是,在漏洞消息曝光後,WhatsApp宣布推出全新的「嚴格帳號設定」功能,若開啟此功能,某些帳號設定將會鎖定為最嚴格的設定,並會在某些方面限制 WhatsApp 的運作,例如封鎖非聯絡人所傳送的附件和影音內容。該功能預計於未來幾週內逐步向用戶推出。
《你可能還想看》