新的WhatsApp賬戶管理漏洞會(huì)讓用戶無(wú)限期地被拒絕登錄

WhatsApp目前正面臨著可能存在的最嚴(yán)重的漏洞之一。據(jù)安全研究人員稱，WhatsApp中存在一個(gè)安全問(wèn)題，可能會(huì)導(dǎo)致更多用戶被動(dòng)地永遠(yuǎn)離開(kāi)WhatsApp。惡意攻擊者可以輕易地利用這個(gè)漏洞，將受害者的WhatsApp賬戶鎖定，并且時(shí)間還是無(wú)限期的。

根據(jù)研究人員Luis Márquez Carpintero和Ernesto Canales Perea談到，攻擊者甚至不需要任何特定的軟件或培訓(xùn)，他們可以利用這個(gè)問(wèn)題，而這一切只需要找到受害人的電話號(hào)碼就可以。

那么，這一漏洞是如何被利用的呢？每當(dāng)你使用新設(shè)備登錄時(shí)，WhatsApp需要用戶進(jìn)行雙因素驗(yàn)證。為此，用戶的手機(jī)會(huì)得到一個(gè)六位數(shù)的代碼進(jìn)行驗(yàn)證，如果多次輸入錯(cuò)誤的代碼，賬戶會(huì)自動(dòng)暫停12小時(shí)。

攻擊者可以利用這種驗(yàn)證方式，在新設(shè)備上安裝WhatsApp，輸入指定手機(jī)號(hào)碼，并反復(fù)輸入錯(cuò)誤的驗(yàn)證碼。這本來(lái)算不上漏洞，因?yàn)檫@將阻止受害者在接下來(lái)的12小時(shí)內(nèi)登錄新設(shè)備，但不會(huì)影響當(dāng)前正在使用的設(shè)備上安裝的WhatsApp。

為了防止在新設(shè)備上登錄，攻擊者只需要重復(fù)三次這個(gè)漏洞，在第三次的時(shí)候，應(yīng)用暫停計(jì)時(shí)器就會(huì)中斷，并顯示-1秒。一旦這個(gè)漏洞出現(xiàn)，WhatsApp會(huì)永久不會(huì)讓指定賬戶在新設(shè)備上登錄。至于當(dāng)前的設(shè)備，WhatsApp依然繼續(xù)正常工作。然而，事情還沒(méi)有結(jié)束。

最后的攻擊會(huì)破壞你當(dāng)前的安裝，用戶將被永久鎖定在賬戶登錄系統(tǒng)之外。為此，攻擊者需要在電子郵件中向WhatsApp發(fā)送電子郵件，要求該服務(wù)停用該電話號(hào)碼。WhatsApp會(huì)發(fā)送一個(gè)自動(dòng)響應(yīng)，要求攻擊者確認(rèn)號(hào)碼，一旦確認(rèn)，WhatsApp將在不知情的情況下自動(dòng)凍結(jié)賬戶。

這意味著當(dāng)前安裝的WhatsAppbanben立即停止工作，設(shè)備上將看到一個(gè)通知，上面寫(xiě)著"您的電話號(hào)碼不再在此手機(jī)上注冊(cè)WhatsApp。這可能是因?yàn)槟谄渌謾C(jī)上注冊(cè)了它。如果您沒(méi)有這樣做，請(qǐng)驗(yàn)證您的電話號(hào)碼以重新登錄到您的賬戶。"之后，當(dāng)試圖驗(yàn)證號(hào)碼時(shí)，受害者會(huì)看到之前提到的-1秒的暫停計(jì)時(shí)器，將根本無(wú)法重新登錄。

由于這種攻擊完全不需要專(zhuān)業(yè)的設(shè)備或技術(shù)知識(shí)，這就更加危險(xiǎn)了，公司需要在事態(tài)失控之前立即解決它。