WhatsApp用户注意了，Google旗下资安研究团队Project Zero公开一项WhatsApp Android版的安全漏洞，原因在于Meta未能在规定的90天期限内完成完整修补。

　　根据Google Project Zero团队说明，该漏洞的运作方式是黑客只要先建立一个WhatsApp群组，将受害者与其一名联络人加入群组后，再把该联络人设为管理员，黑客就能在该群组中传送恶意档案。由于WhatsApp预设会自动下载照片、影片、音讯或文件等档案，恶意档案能在受害者完全没有任何操作的情况下，自动下载到手机中。

　　这些档案会被存入Android系统的MediaStore资料库中，若恶意档案本身具备触发系统漏洞的能力，就可能成为所谓的“零互动式攻击”，让黑客在使用者毫无察觉的情况下发动攻击。

　　不过，这项漏洞仍有几个前提条件。首先，黑客必须掌握受害者与其联络人的电话号码；其次，恶意档案本身也要具备足够复杂的能力，才能在下载后真正造成伤害。另一方面，如果使用者已启用WhatsApp的进阶隐私功能，或是关闭多媒体自动下载，恶意档案就不会自动下载，风险大幅降低。

　　Google Project Zero团队早在2025年9月1日就已私下向Meta 通报这项漏洞，并依惯例给予90天修补期限。然而，Meta未能在11月30日前完成完整修补，导致该漏洞被公开。尽管Meta后续仍有补救措施，但该问题可能还未完全解决。值得注意的是，目前仅WhatsApp Android版受影响。

　　新功能严格帐号设定

　　值得注意的是，在漏洞消息曝光后，WhatsApp宣布推出全新的“严格帐号设定”功能，若开启此功能，某些帐号设定将会锁定为最严格的设定，并会在某些方面限制WhatsApp 的运作，例如封锁非联络人所传送的附件和影音内容。该功能预计于未来几周内逐步向用户推出。

（示意图）