每日都会用到 WhatsApp 去聊天﹑工作，很多人为了方便都会开启自动下载媒体，近日曝光的一项严重安全漏洞，有黑客利用自动下载媒体的设定，在群组中发送恶意媒体档案，用来入侵用家的手机。

自动下载成为攻击入口

是次漏洞由 Google Project Zero 披露，问题核心并非用家误按连结或下载可疑档案，而是完全毋须任何操作。攻击者只要建立一个新群组，将目标用家加入，然后发送经特别设计的恶意媒体档案，系统便可能在背景自动下载该档案，从而成为攻击载体。

换言之，即使用家没有打开讯息、没有点击图片或影片，甚至未必察觉自己被加入群组，只要装置启用了媒体自动下载，风险便已经存在。这种零互动攻击对一般用家而言极难防范。

Android 平台首当其冲

漏洞主要影响 Android 版本的 WhatsApp，并与群组聊天的自动下载机制有关。由于群组可以在毋须事前同意的情况下被加入，而媒体下载又预设为自动进行，两者叠加后，便形成了一条极具效率的攻击链。

预防中招方法1：关闭所有媒体自动下载

要切断攻击链，最直接的方法便是全面停用媒体自动下载功能。这个设定的核心目的，是确保任何图片、影片、语音或文件，都不会在未经用家明确同意下进入装置。当媒体不再自动下载，即使被加入可疑群组，恶意档案亦无法静默落地。

预防中招方法2：避免媒体流入系统相簿

即使在某些情况下仍需下载媒体，亦应避免档案被系统视为一般图片或影片而流入共用储存空间。关闭媒体在装置相簿显示，可将风险限制在 WhatsApp 本身的应用沙盒内，减少其他程式或系统元件误触恶意档案的机会。

预防中招方法3：限制谁可将你加入群组

由于攻击必须透过建立新群组才能触发，因此限制群组邀请权限，实际上是从源头封堵风险。将设定由“任何人”改为仅限联络人，甚至进一步排除不完全信任的号码，能有效减少被陌生人拉入可疑群组的可能。