WhatsApp是一个每天被全球数十亿用户使用的平台,对于许多人而言,它已经取代了传统的短信服务,成为首选的沟通渠道。

WhatsApp之所以会成功,主要归功于它端到端的加密功能,该功能可让用户间传送的所有数据处于加密状态,只有发送者和接受者才能解密其中的內容、图片、视频、甚至是文档。

Advertisement

但WhatsApp现在似乎出现了新漏洞,攻击者可利用你的电话号码通过该漏洞让你无法再登录,那这是什么一回事呢?为什么骇客能够在只有电话号码的情况下实现这一漏洞?

正如《福布斯(Forbes)》最近报导,研究人员发现,这项漏洞可能会影响数百万的用户,由于要实现这一漏洞的操作非常简单,因此许多用户也为此感到担忧。

Advertisement

如何操作?

Advertisement

首先,这项安全漏洞涉及两个主要过程,用户在新手机安装WhatsApp时,通常会收到一则验证码短信,以验证你是否在新设备上设置账号;但这样攻击者也不会获得你的验证码,但事实真的对你没影响吗?

据报导称,攻击者只要在WhatsApp持续输入他人电话号码直至无法再发送,Whatsapp最终会出现漏洞,导致用户无法再收到验证码。

Advertisement

用户登入Whatsapp时,若验证次数太多,该平台会暂时封锁帐户,待一定时候后才可再次登入,只要攻击者重复这个步骤直至等待时间长达12小时,然后重复3次,WhatsApp就会出现漏洞,并导致双重验证(2FA)无效。

用户在此期间会收到无数验证短讯或者电话,却对此无能为力,即使已设置双重验证,也无法避免遭受这种攻击。

攻击者之后只要再用任意的电子邮件,向WhatsApp发电邮报称帐户被窃或丢失,要求停用这个帐户,就会收到WhatsApp的自动回复。

攻击者这时只需按要求再次提供电话号码,就能让帐户从你的手机登出并永久遭停用;之后,无论是谁再尝试登入该账号,都会停留在“请于1秒后再试”的画面无法再登入。

需要注意的是,该漏洞确实无法让攻击者浏览你的短信或私人数据,只会让你无法再使用自己的账号;但考虑到WhatsApp的重要性,以及某些私人数据的敏感性,这无疑是个值得担忧的事。

目前,你能做的只有确保已启用双重验证,并且最好添加电邮地址,以防止攻击者接管你的帐号;当然,最重要的还是绝对不要与任何人分享验证码。

资料来源2