谷歌安全团队把安卓版WhatsApp的一个严重漏洞给揭露出来了,这回要是被黑客利用了,用户手机可能就直接遭殃了,连自己都不知道是怎么回事。2023年9月1日,谷歌的安全研究团队Project Zero私下告诉Meta公司说他们发现了这个问题。按照规矩,研究人员一般会给软件公司90天的时间去修这个漏洞,不然就公开曝光。结果Meta公司拖到了2023年11月30日都没把补丁推出来,于是谷歌决定把这个事儿公之于众。他们说Meta公司倒是在2023年12月4日的时候在服务器那边弄了个临时补丁挡一挡,但客户端上的完整修复到现在还没动静。这就意味着问题可能根本没解决干净。这次事件其实揭示了一种新的攻击方式,黑客只要拿到受害者和他朋友的号码,就能搞个群把大家拉进来,还得把那个朋友弄成管理员。这时候只要发一个特制的坏文件过去,手机就会自动下载存到MediaStore数据库里。如果这文件够厉害能突破系统限制(也就是所谓的“逃逸”),那它就能自己运行起来控制设备。不过这个方法也不是特别稳当,用户要是开了隐私保护功能或者关了自动下载功能,黑客的诡计就不好使了。Brendon Tiszka是这个团队的人,他说这个攻击得好多条件凑齐才行。这次事件让大家意识到保护网络安全不光靠研究人员和软件公司努力,用户自己也得学会设置隐私选项。维护一个安全的网络空间需要三方一起配合才行。