IT之家1月27日消息,谷歌Project Zero安全团队近期披露了WhatsApp Android版存在的一个重大安全漏洞。据科技媒体neowin报道,这一漏洞的细节已对外公开。

谷歌Project Zero团队成员Brendon Tiszka详细解释了该漏洞的利用过程:攻击者首先创建一个WhatsApp群组,随后将目标受害者及其某位联系人一并拉入群中,再将这位联系人设为管理员。
接着,攻击者会向群内发送恶意文件。一旦发送成功,受害者的手机会在无需任何交互的情况下自动下载该文件,并将其存入Android系统的MediaStore数据库。如果文件具备逃逸能力,就可能成为实际攻击的跳板,实现“零交互攻击”——这意味着受害者即便什么都不做,也可能中招。
不过,攻击需要满足几个条件:黑客必须知晓或猜出受害者及其联系人的电话号码才能发起攻击,而且所发送的恶意文件必须足够复杂,才可能具备逃逸能力。此外,如果用户开启了高级聊天隐私保护,或关闭了自动下载功能,那么恶意文件就不会被自动下载。
谷歌团队已于去年9月1日私下向Meta报告了此漏洞。但Meta未能在90天内(截至2025年11月30日)发布完整补丁,因此谷歌依照行业惯例和披露政策,将此漏洞公开。
去年12月4日,Tiszka确认Meta已在服务器端推送了部分修复措施以缓解问题,但此后Meta未再进行更新。因此,该漏洞很可能仍未得到彻底解决。
