据《福布斯》报道,WhatsApp 消息传递应用程序存在一个安全漏洞,攻击者可以只使用用户的电话号码暂停帐户。
对 WhatsApp 的网络钓鱼攻击很常见,但最新发现的漏洞似乎是最危险的。
WhatsApp 中的新安全漏洞可以让网络犯罪分子使用他们的电话号码暂停任何用户的帐户。攻击者只需要一个电话号码即可暂停您的 WhatsApp 帐户。但是,他们只能阻止您的帐户,但不能非法访问它。
安全研究人员 Luis Márquez Carpintero 和 Ernesto Canales Pereña 很快发现了这个潜在的灾难性漏洞,后来被福布斯报道。
两位安全专家发现,攻击者需要在手机上下载 WhatsApp 并尝试使用受害者的手机号码登录。
虽然这听起来不可能,但 Carpintero 和 Pereña 发现攻击者需要在他们的手机上下载 WhatsApp 并尝试使用您的电话号码登录。
完成后,WhatsApp 的双重身份验证系统将立即向您的电话号码发送一个代码,这将阻止攻击者访问您的帐户。
假设攻击者一遍又一遍地重复这个过程。
由于多次登录尝试失败,WhatsApp 将禁用您的登录 12 小时。这将阻止您和攻击者在 12 小时内登录您的 WhatsApp 帐户。
攻击者接下来要做的就是向 WhatsApp 发送电子邮件,要求他们停用或暂停您的电话号码。为了说服 WhatsApp,攻击者可以简单地声称注册到该帐号的手机丢失或被盗。
WhatsApp 很少要求额外的验证输入,它将继续并停用 WhatsApp 帐户。如果重复该过程,WhatsApp 可以永久锁定该帐户。
据安全专家称,此漏洞标志着另一个严重的 WhatsApp 问题。
“没有办法选择不被发现在 WhatsApp 上”,任何人都可以输入电话号码来定位相关帐户(如果存在)。理想情况下,朝着更加注重隐私的方向发展将有助于保护用户免受这种情况的影响,并迫使人们实施两步验证 PIN。”