IT之家 1 月 27 日消息,据科技媒体 neowin 昨天报道,谷歌 Project Zero 安全团队现已披露 WhatsApp Android 版的重大漏洞。
谷歌 Project Zero 团队成员 Brendon Tiszka 详细说明这个漏洞的工作方式:黑客先创建一个 WhatsApp 群组,然后将潜在受害者、受害者的联系人拉入群组,再将这名联系人设为管理员。
接着,攻击者就会往群里发送恶意文件,只要发送成功,受害人的手机无需任何交互就能自动下载,并保存在 Android 系统的 MediaStore 数据库中,如果文件具备逃逸能力,则可能成为真正的攻击中间手段,进而实现“零交互攻击”,受害者什么都不做也会中招。
但是,黑客必须要知道 / 猜到受害人及其联系人的电话号码才能发起攻击,而且发送的恶意文件必须要足够复杂才能够具备逃逸能力。并且如果用户启用了高级聊天隐私保护或关闭了自动下载的话,那么恶意文件就不会被自动下载。
谷歌团队于去年 9 月 1 日私下向 Meta 报告了这个漏洞,但 Meta 未能在 90 天内(IT之家注:2025 年 11 月 30 日前)发布完整补丁,所以谷歌按照行业惯例、披露政策将此漏洞公开。
去年 12 月 4 日,Tiszka 确认 Meta 已在服务器端推送了部分修复措施以缓解问题,但此后 Meta 这边对此没有再进行更新,因此该问题很可能仍未完全解决。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
