2026年1月26日,谷歌Project Zero安全团队向全球揭示了WhatsApp安卓版的一项重大安全漏洞,引发广泛关注。该漏洞允许攻击者通过精心设计的恶意操作,实现对用户的远程攻击,而无需任何用户交互。攻击者首先创建一个WhatsApp群组,然后将受害者及其联系人添加为群组成员,并刻意将受害者设为群组管理员。随后,攻击者发送一个看似无害的恶意文件,一旦受害者点击下载,该文件便会自动保存至MediaStore数据库,从而完成整个攻击流程。
这一漏洞的利用条件较为苛刻,攻击者必须事先掌握受害者的电话号码,并且需要借助文件逃逸能力才能实现攻击目标。尽管如此,其潜在威胁不容小觑。谷歌Project Zero团队建议用户启用高级隐私保护功能或关闭自动下载设置,以有效缓解该漏洞带来的风险。
值得注意的是,谷歌在2025年9月1日已经将这一漏洞报告给了Meta公司,并给予了90天的修复期限,直至2025年11月30日。然而,由于Meta未能在此期限内完成修复工作,谷歌依据惯例于2026年1月26日公开披露了这一重大漏洞。面对谷歌的披露,Meta公司于2025年12月4日推送了部分服务端缓解措施,但遗憾的是,这些问题尚未得到完全解决,仍存在一定的安全隐患。
