WhatsApp修補觸發惡意連結漏洞,若未更新可能導致短影音被利用為攻擊入口
漏洞概述
WhatsApp近日發布資安公告,修補兩項可能導致觸發惡意連結與執行附件檔案的漏洞。攻擊者可透過傳送惡意MP4影音檔案或連結,誘使用戶在無意識下下載或執行,進而入侵裝置並執行任意程式碼。
攻擊手法與風險
- 駭客會建立WhatsApp群組,將受害人及其聯絡人加入,並設為管理員,以取得發動攻擊的條件。
- 惡意檔案(如MP4影音)在用戶未點擊連結的情況下,即可自動下載並執行,形成「零點擊」攻擊。
- 若用戶啟用「自動下載」相片、影片或文件功能,將大幅增加遭攻擊風險。
修補與建議
WhatsApp已修補相關漏洞,包括CVE-2025-55177授權檢核缺陷,並強調用戶應盡速更新應用程式以避免風險。
專家建議用戶:
- 立即更新WhatsApp至最新版本。
- 關閉「自動下載」影片或文件功能。
- 審慎檢查群組內訊息,避免加入不明來源群組。
相關安全公告
WhatsApp MP4 影音檔處理漏洞,遭駭客用以遠端執行任意程式碼