WhatsApp嚴重漏洞｜零操作仍自動下載惡意檔案　建議關閉一功能

WhatsApp Android 版用家請注意！Google 旗下資安研究團隊 Project Zero 於 公開一項針對 WhatsApp Android 版本的嚴重漏洞，指黑客可借漏洞作出「零接觸」攻擊，受害人手機會在沒有操作下，被植入惡意程式。

Project Zero 團隊於 2025 年 9 月 1 日向 Meta 通報有此漏洞，但 Meta 未能於 90 日限期內完全解決問題，故團隊於期限後公開漏洞詳情。團隊成員解釋，黑客只需建立 WhatsApp 群組，將受害人及其通訊錄中的一名聯絡人加入，再將該聯絡人設為管理員，便具備發動攻擊條件。

黑客會利用 WhatsApp 預設自動下載相片、影片或文件檔案機制，在群組發送惡意檔案。受害人沒有操作下，都會被自動下載惡意檔案，直接存入 Android 系統 MediaStore 資料庫。

若黑客發送的檔案經特殊設計，具備觸發系統漏洞能力，便能構成零互動式攻擊，在受害者未點擊開啟任何檔案下，入侵手機系統，且全程毫無察覺。Project Zero 團隊指，攻擊者要知道或猜測受害者及其聯絡人電話號碼，因此這項漏洞最有可能被用於針對性攻擊。

建議關閉自動下載功能

Project Zero 於 2025 年 9 月 1 日向 Meta 私下通報有漏洞，按照披露政策，Meta 獲 90 日時間修補。Meta 於同年 12 月 4 日推出部分伺服器端修復程式，但未能在 11 月 30 日期限前完全解決問題，故 Project Zero 團隊按政策公開漏洞詳情，警惕公眾防範風險。

Project Zero 團隊建議用戶，關閉 WhatsApp 自動下載功能，防止惡意媒體檔案自動儲存到裝置。

資安專家亦建議，用戶限制任何人可將自己加入群組對象，可進入「私隱」設定，選擇「群組」，將預設「所有人」改為「我的聯絡人」或「聯絡人除外」，排除不信任聯絡人；亦應關閉「媒體可見度」設定，防止 WhatsApp 將下載媒體檔案儲存至 Android 相簿，避免其他應用程式或系統元件存取這些檔案。

WhatsApp 在 2026 年 1 月底，推出「嚴格帳戶設定」（Strict Account Settings）功能，啟用後，系統將強制執行最高級別防護，包括限制部分運作功能，並封鎖由非聯絡人傳送的附件和影音內容，以杜絕威脅。有關功能預計未來數周內逐步向全球用戶推送。