每日都會用到 WhatsApp 去聊天﹑工作，很多人為了方便都會開啟自動下載媒體，近日曝光的一項嚴重安全漏洞，有黑客利用自動下載媒體的設定，在群組中發送惡意媒體檔案，用來入侵用家的手機。

自動下載成為攻擊入口

是次漏洞由 Google Project Zero 披露，問題核心並非用家誤按連結或下載可疑檔案，而是完全毋須任何操作。攻擊者只要建立一個新群組，將目標用家加入，然後發送經特別設計的惡意媒體檔案，系統便可能在背景自動下載該檔案，從而成為攻擊載體。

換言之，即使用家沒有打開訊息、沒有點擊圖片或影片，甚至未必察覺自己被加入群組，只要裝置啟用了媒體自動下載，風險便已經存在。這種零互動攻擊對一般用家而言極難防範。

Android 平台首當其衝

漏洞主要影響 Android 版本的 WhatsApp，並與群組聊天的自動下載機制有關。由於群組可以在毋須事前同意的情況下被加入，而媒體下載又預設為自動進行，兩者疊加後，便形成了一條極具效率的攻擊鏈。

預防中招方法1：關閉所有媒體自動下載

要切斷攻擊鏈，最直接的方法便是全面停用媒體自動下載功能。這個設定的核心目的，是確保任何圖片、影片、語音或文件，都不會在未經用家明確同意下進入裝置。當媒體不再自動下載，即使被加入可疑群組，惡意檔案亦無法靜默落地。

預防中招方法2：避免媒體流入系統相簿

即使在某些情況下仍需下載媒體，亦應避免檔案被系統視為一般圖片或影片而流入共用儲存空間。關閉媒體在裝置相簿顯示，可將風險限制在 WhatsApp 本身的應用沙盒內，減少其他程式或系統元件誤觸惡意檔案的機會。

預防中招方法3：限制誰可將你加入群組

由於攻擊必須透過建立新群組才能觸發，因此限制群組邀請權限，實際上是從源頭封堵風險。將設定由「任何人」改為僅限聯絡人，甚至進一步排除不完全信任的號碼，能有效減少被陌生人拉入可疑群組的可能。