原标题:新的WhatsApp账户管理漏洞会让用户无限期地被拒绝登录 来源:cnBeta.COM
WhatsApp目前正面临着可能存在的最严重的漏洞之一。据安全研究人员称,WhatsApp中存在一个安全问题,可能会导致更多用户被动地永远离开WhatsApp。恶意攻击者可以轻易地利用这个漏洞,将受害者的WhatsApp账户锁定,并且时间还是无限期的。
根据研究人员Luis Márquez Carpintero和Ernesto Canales Pereña谈到,攻击者甚至不需要任何特定的软件或培训,他们可以利用这个问题,而这一切只需要找到受害人的电话号码就可以。
那么,这一漏洞是如何被利用的呢?每当你使用新设备登录时,WhatsApp需要用户进行双因素验证。为此,用户的手机会得到一个六位数的代码进行验证,如果多次输入错误的代码,账户会自动暂停12小时。
攻击者可以利用这种验证方式,在新设备上安装WhatsApp,输入指定手机号码,并反复输入错误的验证码。这本来算不上漏洞,因为这将阻止受害者在接下来的12小时内登录新设备,但不会影响当前正在使用的设备上安装的WhatsApp。
为了防止在新设备上登录,攻击者只需要重复三次这个漏洞,在第三次的时候,应用暂停计时器就会中断,并显示-1秒。一旦这个漏洞出现,WhatsApp会永久不会让指定账户在新设备上登录。至于当前的设备,WhatsApp依然继续正常工作。然而,事情还没有结束。
最后的攻击会破坏你当前的安装,用户将被永久锁定在账户登录系统之外。为此,攻击者需要在电子邮件中向WhatsApp发送电子邮件,要求该服务停用该电话号码。WhatsApp会发送一个自动响应,要求攻击者确认号码,一旦确认,WhatsApp将在不知情的情况下自动冻结账户。
这意味着当前安装的WhatsAppbanben 立即停止工作,设备上将看到一个通知,上面写着 "您的电话号码不再在此手机上注册WhatsApp。这可能是因为您在其他手机上注册了它。如果您没有这样做,请验证您的电话号码以重新登录到您的账户。" 之后,当试图验证号码时,受害者会看到之前提到的-1秒的暂停计时器,将根本无法重新登录。
由于这种攻击完全不需要专业的设备或技术知识,这就更加危险了,公司需要在事态失控之前立即解决它。