• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:480

WhatsApp 被發現嚴重 0-day 漏洞，駭客只要撥一通語音電話，即使電話並未接通，仍可植入惡意監聽程式。

於五月初發現的這個嚴重漏洞，屬於 WhatsApp 的 VOIP 堆疊暫存溢位錯誤；駭客可利用這個漏洞，在受害者的 WhatsApp 應用程式中執行任意程式碼，因而可以監聽特定用戶透過 WhatsApp 傳送的文字和語音訊息內容。

據首先揭露此事的金融時報報導指出，一家稱為 NSO Group 的以色列資安公司發展出基於該漏洞的惡意監聽軟體，也已經成功用來監控特定對象；但 NSO 表示進行駭侵監聽都都是該公司的各國情治單位客戶，該公司自己並未進行監聽活動。

WhatsApp也拒絕對外透露受害者人數和清單；有報導指出一些人權律師疑似遭到監聽。

受影響的 WhatsApp 版本遍及 Android、iOS、Windows Phone 和 Tizen 等各種行動作業系統；WhatsApp 已經緊急推出更新版，用戶也應立即更新舊版 WhatsApp。