WhatsApp 使用安全嗎？

一項 新的訴訟(新視窗) 讓 WhatsApp 的安全性再次受到關注。該應用程式的前安全主管 Attaullah Baig 指控 Meta 忽視了允許數百名員工存取 敏感使用者資料 的嚴重漏洞，並且未能阻止大規模帳號駭客攻擊。Meta 否認了這些說法，但對於 WhatsApp 的 30 億使用者(新視窗) 來說，問題是一樣的：WhatsApp 真的使用安全嗎？

• WhatsApp 對私有聊天來說安全嗎？
• 為什麼 Meta 因 WhatsApp 隱私疑慮而被起訴？
• WhatsApp 的安全和隱私風險是什麼？
  • 惡意軟體和間諜軟體
  • 零點擊漏洞利用
  • SIM 卡交換和驗證碼詐騙
  • 暴露的中繼資料
  • 35 億 WhatsApp 電話號碼的大規模暴露
  • 所有 Meta 平台上的目標式廣告
  • Meta AI 訓練
• 如何在 WhatsApp 上保持安全
• 選擇更私有的即時通訊應用程式

WhatsApp 對私有聊天來說安全嗎？

儘管訴訟提出了指控，WhatsApp 的 端對端加密 (E2EE) 仍然完好無損。沒有跡象顯示 WhatsApp 的加密通訊協定已被破解，或者 Meta 可以閱讀你的對話內容。這意味著你的文字、相片和語音通話仍然受到保護，免受包括 Meta 本身在內的外部存取。

然而，WhatsApp 可以閱讀你的中繼資料（你和誰交談、何時交談等），並且根據你居住的地方，與 Meta 共享該資料。因此，它的安全性取決於你想保持多少資訊私有。

為什麼 Meta 因 WhatsApp 隱私疑慮而被起訴？

在 2021 年至 2025 年間管理 WhatsApp 安全團隊的 Attaullah Baig 表示，該應用程式並不像 Meta 聲稱的那樣私有。在他的訴訟中，他指控大約 1,500 名員工可以存取敏感使用者資訊，包括位置、個人檔案相片、群組成員資格和聯絡人清單。

如果這些指控屬實，它們將釐清 WhatsApp 對端對端加密的立場(新視窗)：你的訊息是私有的，但你的位置、個人檔案相片、群組成員資格和聯絡人清單則是公平的遊戲。那種不受限制的存取開啟了內部威脅和 資料外洩 的大門，敏感資訊可能會被竊取並在暗網上出售。

這位前安全主管主張，這種程度的存取也可能違反了美國政府的一項具約束力的命令，該命令迫使 Meta（當時為 Facebook）在劍橋分析醜聞後，於 2020 年支付創紀錄的 50 億美元罰款(新視窗)。

他還指控該公司忽視了每天超過 100,000 次的帳號接管，並拒絕了他提出的修復建議。根據訴訟，當 Baig 向包括 Mark Zuckerberg 在內的資深領導層提出這些疑慮時，Meta 解雇了他。

Meta 否認了 Baig 的指控，並將他的解雇歸咎於表現不佳。這些指控也引起了政治關注，參議員向 Zuckerberg 施壓(新視窗)，要求回答有關 WhatsApp 安全實務的問題。

在 Baig 提起訴訟的前幾天，一組 六名現任和前任 Meta 員工(新視窗) 聲稱，該公司掩蓋了兒童在其虛擬實境平台上接觸誘騙、騷擾和暴力的證據。Meta 也否認了這些說法。

WhatsApp 的安全和隱私風險是什麼？

隨著 WhatsApp 處理使用者資料的方式受到關注，以下是你使用此應用程式時可能面臨的安全和隱私風險：

惡意軟體和間諜軟體

惡意應用程式或連結可以在你的手機上安裝間諜軟體，允許攻擊者攔截訊息或代碼。一個例子是 PixPirate(新視窗)，這是一種首先在巴西發現的 Android 惡意軟體，它針對該國的即時支付系統 Pix。此後在印度、墨西哥和義大利也觀察到了它。它的目標是竊取銀行憑證，攔截 雙重身分驗證 (2FA) 代碼，從受害者的帳號發起未經授權的 Pix 轉帳，並阻止解除安裝它或停用 Google Play Protect 的嘗試。

攻擊者利用 WhatsApp 傳播 PixPirate。如果惡意軟體沒有 在裝置上偵測到 WhatsApp(新視窗)，它會下載它以向聯絡人傳送更多惡意連結。

零點擊漏洞利用

2025 年，研究人員發現了一種零點擊攻擊，讓駭客可以 透過 WhatsApp 闖入 iPhone 和 Mac(新視窗)，而使用者無需點擊任何東西。該漏洞利用結合了兩個缺陷：一個是 macOS 和 iOS 處理圖像的方式，另一個是 WhatsApp 的裝置連結功能。

網路犯罪分子可以透過 WhatsApp 訊息向 Apple 使用者投遞間諜軟體，並從他們的裝置竊取資料，包括訊息。Meta 表示受到影響的使用者不到 200 人，Apple 和 WhatsApp 此後都已修補了這些漏洞。

同年，一個單獨的零點擊漏洞影響了 Samsung 裝置 (CVE-2025-21042(新視窗))。攻擊者可以透過傳送惡意圖像檔案來入侵 Galaxy 手機，且無需任何互動。此漏洞利用被用於針對性的間諜軟體活動，直到 Samsung 在 2025 年 4 月的安全更新中修補了該問題。

SIM 卡交換和驗證碼詐騙

攻擊者可能會誘騙你的行動通訊業者將你的 電話號碼轉移 到他們控制的新 SIM 卡上。然後他們可以詐騙你共享 WhatsApp 在設定新裝置時透過簡訊傳送的六位數代碼。如果你交出它，壞人可以劫持你的帳號，將你鎖在門外，竊取你的身分，並使用你的個人檔案詐騙你的聯絡人。倫敦薩瑟克的警方 報告稱 2021 年此類攻擊激增(新視窗)，並警告人們永遠不要共享他們的 WhatsApp 代碼。

暴露的中繼資料

聊天可能是端對端加密的，但 WhatsApp（及其母公司 Meta）仍會收集中繼資料——例如你與誰交談、頻率如何、你的裝置詳細資料和位置。中繼資料不能用於直接識別你的身分，但可以與其他資訊交叉引用以 重新識別你的身分(新視窗)。而且因為 Meta 總部位於美國，它可能會在 沒有通知的情況下與美國政府共享 它所知道的關於你的一切。

35 億 WhatsApp 電話號碼的大規模暴露

2025 年，一組獨立的奧地利研究人員 發現(新視窗) WhatsApp 中的一個隱私缺陷，允許他們使用一種容易複製的電話列舉方法檢索 35 億個電話號碼——連同個人檔案相片、裝置詳細資料、時間戳記、「關於」文字和商業資訊。同一個漏洞最早於 2017 年報告，但 Meta 沒有解決它。重要的是，沒有公開報告確認的 WhatsApp 資料外洩利用了這種特定方法。

雖然你的電話號碼和中繼資料不會直接識別你的身分，但它們可以與其他資料匹配以揭示你是誰。也許你在社交平台上重複使用相同的個人檔案相片，或者你曾是過去 資料外洩 的一部分，其中你的電子郵件、使用者名稱或位置被暴露——所有這些都可以連結回你的 WhatsApp 中繼資料。

研究人員還獲得了用於 WhatsApp 端對端加密的公開金鑰，並發現了嚴重問題，包括加密金鑰在不同帳號之間被重複使用數百次，以及一次性預先金鑰重複出現，即使它們被設計為每次工作階段都重新產生。

這些安全問題表明使用了加密破損的非官方或欺詐性 WhatsApp 用戶端。如果你使用這些修改過的應用程式，你的訊息可能容易受到攔截、解密或帳號冒充的攻擊。

Meta 表示已修復列舉問題，淡化了暴露資料的敏感性，並且沒有解決公開金鑰問題或事實上它早在近十年前就被警告過這個主要缺陷。

所有 Meta 平台上的目標式廣告

WhatsApp 表示它不會將 訊息內容用於廣告(新視窗)，但它確實使用其他資料——例如帳號資訊（國碼、年齡）、裝置資訊（語言、位置）以及狀態和頻道的活動（你檢視、追蹤或點擊的內容）。因為 WhatsApp 是 Meta 的一部分，這些資料可以在 Facebook 和 Instagram 之間共享，儘管由於 GDPR，這種資料共享在歐洲受到限制。

自從 WhatsApp 在 2021 年更改其隱私權政策 以來，它也與 Meta（當時為 Facebook）共享你可能與商家進行的支付和交易資料。如果你將 WhatsApp 連線到 Meta 的帳號管理中心，你的廣告偏好設定將被統一，這意味著 WhatsApp 中的動作會影響你在其他地方看到的廣告。隨著由 Meta AI 驅動的新功能，跨平台的資料共享引發了更多疑慮。

Meta AI 訓練

Meta AI 內崁於 WhatsApp、Facebook 和 Instagram 中，引發了對資料如何被處理、用於 AI 訓練以及在這些平台之間共享的擔憂。

在 WhatsApp 上，Meta 表示 Meta AI 不會存取你的私有、端對端加密聊天。然而，你與 Meta AI 共享的提示和意見回饋可能會被儲存並用於改進其模型。WhatsApp 還提供了一個對話摘要功能，依賴於 「私有處理」(新視窗)，Meta 聲稱這可以防止摘要被公司或其他任何人閱讀。

即使有這些保證，人們對自己真正擁有多少資料控制權仍存有疑慮。例如，Facebook 使用者報告說，Meta AI 啟用了允許它在未經同意的情況下 掃描相機膠卷中未發布相片 的設定。

如何在 WhatsApp 上保持安全

以下是你可以做些什麼來在使用 WhatsApp 時提高你的隱私和安全性：

• 始終使用來自 App Store 或 Google Play 的官方 WhatsApp 應用程式，以確保你的端對端加密正確運作。
• 開啟手機上的安全通知，以便在聯絡人重新安裝 WhatsApp、更換手機或新增或移除連結裝置時收到警報。
• 建立 通行密鑰，這樣你就可以用臉部、指紋或螢幕鎖定登入 WhatsApp。這可以防止其他人登入，即使他們獲得了你的簡訊代碼。
• 新增電子郵件地址以在被鎖定時驗證或復原你的帳號。確保你的 電子郵件 本身受到強 密碼 和 雙重身分驗證 的保護。
• 啟用端對端加密備份以保護你在 iCloud 或 Google Drive 中的聊天，這樣即使是 Apple、Google 或 Meta 也無法閱讀它們。WhatsApp 不允許你選擇 雲端儲存空間 提供者。否則，你應該完全關閉聊天備份。
• 切勿與任何人共享你的六位數驗證碼。WhatsApp 和 Meta 永遠不會要求它。
• 要求你的行動通訊業者新增 PIN 或助記詞，然後才能將你的號碼轉移到另一張 SIM 卡。這使得 SIM 卡交換更加困難。
• 僅從 Google Play 或 App Store 下載 WhatsApp 並保持其——以及你的行動和桌面作業系統——更新到最新版本。
• 切勿點擊連結 或安裝來自未知或可疑 WhatsApp 聯絡人的應用程式。如果你不確定某個聯絡人，請使用其他方法與他們聯繫以確認其身分。
• 透過限制誰可以將你加入群組並查看你的個人檔案圖片、最後上線時間和線上狀態、關於部分以及個人檔案上的連結，來鎖定你的 (新視窗)WhatsApp 隱私設定(新視窗)。
• 你無法完全 在 WhatsApp 上關閉 Meta AI，但你可以採取步驟防止它從你的活動中學習太多——並保護你的訊息最終不進入 AI 訓練資料。

選擇更私有的即時通訊應用程式

雖然你可以採取步驟提高安全性並限制其他 WhatsApp 使用者可以看到的內容，但這並沒有改變 Meta 仍然依賴收集使用者資訊（如中繼資料）來獲取收入的事實。如果最近的舉報人說法準確，那麼這種存取權限可能比該公司承認的還要廣泛。鑑於 Meta 的隱私侵犯歷史，一些懷疑是有道理的。

如果你擔心這種程度的控制，請考慮一個 WhatsApp 的私有替代方案，它收集的資料要少得多，並且不與因其付費或同意廣告模式而被監管機構罰款的 大型科技公司 綁定。