2023年9月1日,谷歌安全团队Project Zero通过非公开渠道给Meta公司报告了一个关于WhatsApp安卓版的高危漏洞。按照漏洞协调披露的惯例,软件厂商通常会有90天的时间来修复这个问题。但到了2023年11月30日,Meta还没有把修复补丁准备好。为了不耽误时间,Project Zero的团队就决定把这个漏洞的细节公之于众。Brendon Tiszka指出,攻击者利用这个漏洞进行零交互攻击。这个过程有好几个步骤,首先需要创建一个WhatsApp群组,把目标受害者和至少一个联系人拉进来,接着把这个联系人设为管理员。随后,攻击者会给这个群组发送特制的恶意文件。由于软件机制的缺陷,受害者的安卓设备可能在没有任何交互的情况下自动下载并存储这个文件到系统的MediaStore数据库里。如果恶意文件设计得巧妙,具备进一步的逃逸能力,就可能突破应用沙盒等限制,从存储区域激活并执行恶意代码。尽管这个攻击链条看起来复杂,但实现起来并不容易。攻击者需要提前知道目标受害者和联系人的电话号码,还得制作一个技术复杂度较高的恶意文件来绕过系统防护。如果用户主动启用了高级聊天隐私保护功能或者关闭了媒体文件的自动下载设置,就可以有效阻断这个漏洞的利用路径。虽然Meta在去年12月4日通过服务器端部署了部分修复措施来缓解攻击风险,但之后并没有向Project Zero团队提供关于客户端补丁修复状态的进一步更新。这表明WhatsApp安卓版应用中可能还存在潜在风险敞口。谷歌安全团队此次披露事件也反映了科技巨头在应对安全漏洞时所面临的时间压力和协作流程。这个事件提醒大家,在享受即时通讯便利的同时要关注软件的隐私与安全设置。此外,这也促使行业反思如何优化漏洞响应机制,找到在安全研究与产品维护之间更高效和负责任的平衡点。