Meta 警告 Windows 版 WhatsApp 存在欺骗性漏洞威胁用户安全

Meta 警告称，其旗下流行的即时通讯平台 WhatsApp 的 Microsoft Windows 版本存在一个重大漏洞，可能使用户面临各种网络攻击风险，包括勒索软件攻击。

在一份在线公告中，Meta 表示这个欺骗性问题 (正在被追踪为 CVE-2025-30401，存在于 2.2450.6 之前的版本) 会导致 WhatsApp 根据多用途互联网邮件扩展 (MIME) 类型显示通过该平台发送的附件，但实际上是根据附件的真实文件扩展名来选择文件打开程序。

在这种情况下，如果恶意攻击者故意修改 MIME 类型，可能会导致接收者在 WhatsApp 内手动打开附件时，inadvertently 执行任意代码，而不是查看附件内容。

实际上，这意味着受害者可能会看到一个看似无害的 .jpeg 文件并被诱导打开它，但实际上它可能是一个 .exe 文件 - 也就是说，是恶意软件。

据在线银行 Revolut 最新发布的数据显示，2024 年英国五分之一的诈骗案都以 WhatsApp 为主要攻击途径，且在 6 月至 12 月期间，此类诈骗数量增长了 67%。

更广泛地说，包括 Facebook 和 Instagram 在内的 Meta 平台因其庞大的消费者用户群且这些用户往往缺乏基本的个人安全意识，而备受网络犯罪分子青睐。

CyberSmart 高级网络安全顾问 Adam Pilton 表示："大多数人都会加入 WhatsApp 群组，在群组中分享图片是很常见的，这就是这个漏洞变得危险的地方。如果网络犯罪分子能够在你的群组中分享这种图片，或者通过你信任的人分享到你的群组中，群组中的任何人都可能在不知情的情况下执行与该共享图片相关的恶意代码。"

KnowBe4 的安全意识倡导者 Martin Kraemer 表示，WhatsApp 的近乎普遍使用使得此类漏洞可能对消费者和组织都产生极大影响。

他说："WhatsApp 已成为生活中不可或缺的一部分，从预约理发到与招聘人员分享简历。作为首选的通信平台，Windows 客户端已成为许多人在处理专业和私人事务时在后台运行的重要助手。"

由于 WhatsApp 已深深融入我们的通信和工作习惯，我们已经形成了自动化行为、高度信任和依赖性，这正是攻击者喜欢利用的，就像现在 Windows 客户端中出现的这个漏洞一样。用户不能轻视这个漏洞，应该立即将软件更新到最新版本。

Kraemer 警告说，在此期间，WhatsApp 用户在打开通过该服务发送的附件或文件时应始终保持极度谨慎。理想情况下，他说最佳做法是像对待电子邮件账户一样对待它，永远不要打开意外收到的文件，特别是来自新联系人的文件。

Pilton 补充说："值得欣慰的是，解决方案就在手边而且很简单，那就是更新 WhatsApp。网络犯罪分子会继续利用我们使用的软件中的漏洞，而软件提供商会继续提供更新或补丁来保护我们免受网络犯罪分子的攻击。这就是为什么漏洞管理，也就是应用软件提供商发布的更新，如此重要。"