Google 旗下資安研究團隊 Project Zero 在 2026 年 1 月公開一項針對 WhatsApp Android 版本的嚴重安全漏洞,黑客可透過漏洞進行「零互動式攻擊」,受害者手機會在毫無操作情況下被植入惡意程式。Project Zero 團隊成員 Brendon Tiszka 在 2025 年 9 月 1 日向 Meta 通報此漏洞,但 Meta 未能在 90 天期限內完全解決問題,因此團隊於期限後公開漏洞詳情。
黑客建立 WhatsApp 群組即可發動攻擊
Brendon Tiszka 解釋,黑客只需建立一個 WhatsApp 群組,將受害者及其通訊錄中一名聯絡人加入,隨後將該聯絡人設為管理員,便具備發動攻擊條件。黑客會利用 WhatsApp 預設「自動下載」相片、影片或文件檔案機制,在群組內發送惡意檔案。受害者在毫無操作情況下,被自動下載惡意檔案會直接存入 Android 系統 MediaStore 資料庫。
若黑客發送檔案經過特殊設計,具備觸發系統漏洞能力,便能構成「零互動式攻擊」,在受害者未點擊開啟任何檔案情況下入侵手機系統,且全程毫無察覺。Project Zero 團隊指出,攻擊者需要知道或猜測受害者及其聯絡人電話號碼,因此這項漏洞最有可能被用於針對性攻擊,但一旦攻擊者掌握目標名單,便可輕易重複攻擊。
Meta 逾期未完全修復漏洞
Google Project Zero 在 2025 年 9 月 1 日向 Meta 私下通報此漏洞,按照其披露政策,Meta 獲得 90 天時間發布完整修復程式。Meta 在 2025 年 12 月 4 日推出部分伺服器端修復程式,但未能在 2025 年 11 月 30 日期限前完全解決問題,因此 Project Zero 團隊按政策公開漏洞詳情。截至 2026 年 1 月底,Meta 確認已推出「全面修復程式」應對此漏洞。
同時 Meta 在 2026 年 1 月底宣布以記憶體安全程式語言 Rust 重建 WhatsApp 核心媒體處理程式庫,取代約 160,000 行舊 C++ 程式碼,減少記憶體漏洞風險。新 Rust 程式庫約 90,000 行程式碼,已部署至全球數十億台 Android、iOS、桌面應用程式、穿戴裝置及網頁版裝置,成為史上最大規模 Rust 客戶端部署。
Meta 亦推出名為「Kaleidoscope」內部檢查系統,可檢測傳入檔案結構異常,標記高風險格式如嵌入內容或腳本 PDF 檔案,並識別偽裝成其他類型可執行檔案。
關閉「自動下載」設定自保
Project Zero 團隊建議用戶關閉 WhatsApp「自動下載」功能,防止惡意媒體檔案自動儲存到裝置。用戶可按以下步驟關閉自動下載功能:
1. 開啟 WhatsApp
2. 點選右上角三點選單,然後點選「設定」
3. 選擇「儲存空間與數據」
4. 在「媒體自動下載」部分,分別點選「使用流動數據時」、「連接 Wi-Fi 時」及「漫遊時」
5. 取消選擇所有媒體類型,包括相片、音訊、影片及文件
6. 點選「確定」儲存變更
資安專家亦建議用戶限制可將自己加入群組對象。用戶可進入「私隱」設定,選擇「群組」,將預設「所有人」改為「我的聯絡人」或「聯絡人除外」,排除不信任聯絡人。亦應關閉「媒體可見度」設定,防止 WhatsApp 將下載媒體檔案儲存至 Android 相簿,避免其他應用程式或系統元件存取這些檔案。
WhatsApp 推出「嚴格帳戶設定」模式
為回應近期安全威脅,WhatsApp 在 2026 年 1 月底推出「嚴格帳戶設定」(Strict Account Settings)功能,用戶可在 iOS 及 Android 版本「設定」>「私隱」>「進階」選單中找到此選項。啟用此模式後,WhatsApp 會同時開啟多項安全設定,限制部分應用程式功能以提升安全性。
資料來源:Malwarebytes、Techlomedia
分享到 :
最新影片
