软餐(ruancan.com)获悉,WhatsApp 近日又曝出一个安全漏洞,该漏洞可使攻击者使用 WhatsApp 用户的手机号码来远程中止用户的帐户。
据悉,安全研究人员 LuisMárquezCarpintero 和 Ernesto CanalesPereña 是该漏洞的发现者,他们发现该漏洞在 WhatsApp 上似乎已存在了相当长的时间。大量 WhatsApp 用户面临被攻击的风险,远程攻击者可在手机上停用用户的 WhatsApp,然后限制受害者将其重新激活。
更可怕的是,即使用户为 WhatsApp 帐户启用了双重身份验证(2FA),该漏洞仍可被利用。
攻击者可能会在 WhatsApp 上输入受害者的手机号码。一般情况下,除非攻击者获得了 6 位数的短信验证码,否则无法访问用户的 WhatsApp 帐户,并且如果攻击者多次尝试登录失败,其手机上 WhatsApp 上的验证也会被锁定 12 个小时。
但是,攻击者可以通过联系 WhatsApp 客服来停用受害者的手机号码。他们通过一个新的电子邮件地址和一封简单的电子邮件,来申诉手机已被盗或丢失。如果这种尝试操作成功,受害者的 WhatsApp 帐户将被停用,且受害者将无法访问自己设备上的 WhatsApp,也无法使用 2FA 来避免帐户被停用。
在账户被停用情况下,受害者可通过验证手机号码来激活 WhatsApp 帐户。但如前所述,攻击者可能会通过多次尝试登录 WhatsApp 帐户导致验证被锁定 12 个小时,并且仍可重复做这种恶意尝试,导致受害者无法激活账户。
在这种情况下,用户只能通过电子邮件与 WhatsApp 官方联络,来尝试对自己的 WhatsApp 帐户进行申诉。
WhatsApp 发言人表示,用户可通过两步验证将电子邮件地址注册到自己的帐户,从而避免因为新漏洞被攻击者恶意停用账户。
提供带有两步验证的电子邮件地址,可帮助我们的客服团队在遇到这种低概率问题时为用户提供帮助。该安全研究人员确定的情况将违反我们的服务条款,我们鼓励任何需要帮助的用户发送电子邮件给我们的支持团队,以便我们进行调查。
目前尚不清楚该漏洞是否已被攻击者广泛利用。WhatsApp 在全球拥有超过 20 亿用户,相当用户没有使用电子邮件地址对账户进行注册验证。因此预计该漏洞的影响范围非常广泛。
微信扫一扫