WhatsApp 中一个独特且令人不安的安全漏洞允许任何人在此服务中阻止您的帐户,只要他们知道您的电话号码。
问题不是 WhatsApp 代码的内部缺陷,而是服务锁定帐户方式的一个令人不安的错误。 攻击者不会阅读您的消息,但会让您无法访问流行的消息传递应用程序,而您不知道发生了什么。
WhatsApp 中的一个问题,可能会引起很多头痛
机制很简单。 攻击者在新手机上安装 WhatsApp 并输入您的号码以激活该服务。 他们无法验证它,因为该密钥会到达您的电话号码。
由于他使用了您的电话号码,他输入了几个随机验证密钥,但多次尝试失败后,该应用程序不允许攻击者输入新的六位数代码来验证该帐户 12 小时。
对于受害者来说,暂时一切都将继续工作,但有趣的部分来了:当该帐户被阻止时,攻击者会向 WhatsApp 发送一封电子邮件(从一次性地址,例如一个新的 Gmail 帐户)支持地址。 在该消息中,足以告诉他们您的手机已被盗或丢失,需要禁用该服务。
WhatsApp 在这里做的唯一一件事就是相信攻击者的身份在不需要进一步操作的自动化过程中是合法的,该服务只是将其视为理所当然,并且该过程以实现的目标结束:您的 WhatsApp 帐户被暂停,无需采取进一步行动。 攻击者可以多次重复该过程,使您几乎无法正常使用该应用程序。
此安全漏洞可能会导致您的帐户被阻止
您必须等待攻击者因验证码失败而发起的 12 小时期限结束。 从那一刻起,您可以重新激活帐户,但您将不得不在不知道 12 小时何时结束的情况下继续尝试。
尽管此安全漏洞无法访问我们的消息或联系人,但任何拥有我们电话号码的攻击者都会给我们带来很多不便。 WhatsApp 和 Facebook 经理目前似乎没有考虑可能的解决方案。