WhatsApp無故被拉入群組，零互動卻中木馬，專家教路如何防禦，Android用家注意﹗

[eden小五]

WhatsApp 漏洞、WhatsApp 零互動攻擊、關閉 WhatsApp 自動下載教學。WhatsApp 被人拉入群組點算？用緊 Android 手機的你注意！Google 驚爆 WhatsApp 出現嚴重安全隱患，駭客發動「零互動攻擊」，只需將你拉入群組，無需點擊任何連結即可植入惡意程式？Meta 逾期 90 日未修補！ezone為你拆解駭客「零接觸」中招原理，並獨家傳授 3 招必學防伏自保教學，教你關閉「自動下載」及啟用最新設定。即睇全文自保！

 WhatsApp漏洞 Android用家注意零互動駭客攻擊



 WhatsApp 爆出重大安全隱患！Google 旗下資安研究團隊 Project Zero 近日公開了一項針對 WhatsApp Android 版本的嚴重漏洞。駭客可透過特定手法發動極度危險的「零互動式攻擊（Zero-click Attack）」。最令人震驚的是，由於母公司 Meta 未能按慣例在 90 天限期內完成修補，Google 團隊決定破例公開漏洞細節以警惕公眾。到底這個漏洞有幾危險？用家又可以點樣自保？

 
駭客「零接觸」攻擊原理拆解：群組自動下載成死穴是次漏洞的攻擊手法相當隱蔽且具破壞力。駭客利用了 WhatsApp 預設的便利功能，將其變成了入侵手機的致命死穴。
攻擊 3 步

1. 建立惡意群組： 駭客首先建立一個 WhatsApp 群組，並將受害者及其通訊錄中的「其中一名聯絡人」加入。
   
   
2. 轉移管理員權限： 駭客隨後將該名聯絡人設為群組管理員，以此滿足發動攻擊的特定條件。
   
   
3. 觸發自動下載： 駭客在群組內發送經過特殊設計的惡意檔案。利用 WhatsApp 預設的「自動下載」相片、影片或文件機制，檔案會直接存入 Android 系統的 MediaStore 資料庫中。
   
   

致命關鍵： 整個過程構成所謂的「零互動式攻擊」。受害者在完全不察覺、亦未有點擊開啟任何檔案的情況下，手機系統已可能遭到木馬或惡意程式入侵！

Meta 逾 90 日未修復！僅 Android 版受影響？事源 Google Project Zero 早在 2025 年 9 月 1 日已私下向 Meta 通報此漏洞。按照國際資安界的慣例，廠商有 90 天時間進行修補（Patch）。惟直至同年 11 月 30 日期限屆滿，Meta 仍未能提供完整的修補方案，導致 Google 團隊按機制將漏洞「公諸於世」。

雖然 Meta 後續已採取補救措施，但報告指問題可能尚未徹底解決。值得 Android 用家特別留意的是，目前受影響範圍僅限於 WhatsApp Android 版本。

小貼士：

1. 不要盲信「聯絡人」： 即使是親朋好友將你拉入不知名的新群組，如果群內有人發送奇怪的檔案，千萬不要停留，立即退出並封鎖！
   
   
2. 徹底清理 MediaStore： 由於惡意檔案是經由自動下載存入 Android 的媒體庫，建議 Android 用家定期使用手機內置的「檔案管理員」，清理不明的暫存圖片或影片檔。
   
   
   

 



 3 招必學防禦教學：即時截斷駭客入侵路線雖然漏洞性質嚴重，但駭客成功攻擊仍需滿足特定門檻（例如惡意檔案需具高度複雜性）。專家強烈建議用戶完成以下 3 步檢查，以確保不會成為駭客的「漏網之魚」：
 
第一招：立即關閉「自動下載」及「儲存至相簿」

• 雖然官方表示漏洞理論上已修復，但預防勝於治療！建議前往 WhatsApp 的 「設定」>「儲存空間與數據」，將使用行動數據、Wi-Fi 及漫遊時的「自動下載媒體」全部設為「無」。
  
•  
  
• 同時前往 「設定」>「對話」，關閉「儲存至相機膠卷 / 媒體能見度」，防止惡意媒體檔案悄悄存入 Android 相簿。
  

第二招：限制「被加入群組」權限
 

• 前往 「設定」>「隱私」>「群組」，將加入權限由「所有人」改為「我的聯絡人」或「我的聯絡人，除了...」，徹底避免被陌生人直接拉入高危群組。
  
•  
  

第三招：更新 App 並啟用「嚴格帳戶設定」
 

• 立刻前往 Google Play 商店，確保 WhatsApp 處於最新版本。
  
•  
  
• 為了應對此類「零互動」威脅，WhatsApp 在 2026 年 1 月底已推出全新的「嚴格帳戶設定」（Strict Account Settings）功能。啟用後，系統會主動封鎖所有非聯絡人傳送的附件與影音內容，大幅降低中招風險（該功能正逐步推送到所有用戶）。
  
•  
  

常見問題解答 Q1: 今次 WhatsApp 漏洞，iPhone (iOS) 用家會不會受影響？
 
A1: 根據 Google Project Zero 團隊的報告，是次被發現的零互動式攻擊漏洞，其惡意檔案是針對 Android 系統的 MediaStore 資料庫結構而設計的。因此，目前受影響的僅限於 WhatsApp Android 版本，iPhone (iOS) 用家暫時不受此特定漏洞影響，但仍建議保持關閉「自動下載」以策安全。
 
Q2: 甚麼是「嚴格帳戶設定」（Strict Account Settings）？
 
A2: 這是 WhatsApp 於 2026 年初針對未知的網絡威脅而推出的全新進階隱私功能。當用戶開啟此設定後，系統會變得極度防禦化，自動攔截並封鎖所有來自「非通訊錄聯絡人」傳送的多媒體附件（如圖片、影片、文件）。這能有效切斷駭客透過陌生帳號發送惡意程式的途徑。
 
Q3: 如果我發現自己已經被拉入不知名的 WhatsApp 群組，應該點算？
 
A3: 保持冷靜，絕對不要點擊群組內的任何相片、影片或連結。請立即點擊群組名稱進入設定頁面，選擇「退出群組」，並在系統彈出提示時選擇「檢舉並封鎖」該群組。最後，檢查手機的相簿或下載資料夾，確保沒有不明檔案被自動儲存。

https://ezone.hk/article/20087938/whats ... tm_source=
 

[開心一夢]

好有用,已跟住做晒!

[Oncidium]

真係唔講唔知，唔該晒！

[去去無氣走]

會多多留意