通訊軟件 WhatsApp 爆出重大安全隱患。Google 旗下資安研究團隊 Project Zero 公開一項針對 WhatsApp Android 版本的嚴重漏洞,指黑客可透過特定手法發動零互動式攻擊。團隊指出,由於Meta 未能按慣例在 90 天限期內完成修補,故決定公開漏洞細節,以警惕公眾防範風險。
WhatsApp群組「零接觸」攻擊
是次漏洞的攻擊手法相當隱蔽且具破壞力。據 Project Zero 團隊解釋,黑客只需建立一個 WhatsApp 群組,將受害者及其通訊錄中的一名聯絡人加入,隨後將該聯絡人設為管理員,便具備發動攻擊的條件。黑客可在群組內發送惡意檔案,利用 WhatsApp 預設「自動下載」相片、影片或文件檔案的機制,在受害者毫無操作的情況下,將惡意程式植入手機。
被自動下載的檔案會直接存入 Android 系統的 MediaStore 資料庫中。若黑客發送的檔案經過特殊設計,具備觸發系統漏洞的能力,便能構成所謂的「零互動式攻擊」。使用者在完全不察覺、亦未有點擊開啟檔案的情況下,手機系統已可能遭到入侵。
Meta逾期未修復 僅Android版受影響
事源 Google Project Zero 早在 2025 年 9 月 1 日已私下向 Meta 通報此漏洞。按照慣例,廠商有 90 天時間進行修補。惟直至同年 11 月 30 日期限屆滿,Meta 仍未能提供完整的修補方案,導致 Google 團隊按機制公開漏洞詳情。雖然 Meta 後續已採取補救措施,但報告指問題可能尚未徹底解決。值得注意的是,目前受影響範圍僅限於 WhatsApp Android 版本。
關閉自動下載 將推「嚴格帳號設定」
雖然漏洞性質嚴重,但成功攻擊仍需滿足特定門檻,包括黑客必須同時掌握受害者及其聯絡人的電話號碼,且惡意檔案需具備高度複雜性。專家建議,若用戶已啟用進階隱私功能,或手動關閉「多媒體自動下載」功能,均能有效阻截惡意檔案自動存入,大幅降低中招風險。
WhatsApp 隨即宣布將推出「嚴格帳號設定」功能。啟用後,系統將強制執行最高級別的防護,包括限制部分運作功能,以及封鎖由非聯絡人傳送的附件和影音內容,以杜絕潛在威脅。有關功能預計將於未來數周內逐步向全球用戶推送。
即刻【按此】,用 App 睇更多產品開箱影片
【熱門報道】
Source:3c.ltn.com.tw
【相關話題】全球性資安危機!5大平台 1.49 億帳密遭公開 Gmail、Facebook淪重災區
網絡安全專家 Fowler 近日發現一個容量達 96GB 的公開資料庫,導致全球 1.49 億筆帳號憑證外洩,受影響平台涵蓋 Gmail、Facebook 及 iCloud 等主流服務。外洩資料疑由惡意軟件從用戶裝置竊取後彙整而成,專家呼籲市民應即時更新系統並加強帳戶防範。
Source:ezone.hk
【相關話題】同樣係 USB-C 速度竟差 166 倍?2026 USB-C 避伏選購攻略
隨着 USB-C 成為主流連接標準,不少用家對其技術細節仍存有誤解。本文拆解五大常見迷思,由 Apple 與標準制定的關係,到外觀一致但效能懸殊的線材規格,深入剖析傳輸速度與影像輸出的關鍵技術,助你精準選購合適配件。
Source:ezone.hk