站长之家- 业界 2021-04-13T20:08:28 +08:00

新的WhatsApp账户管理漏洞会让用户无限期地被拒绝登录

WhatsApp目前正面临着可能存在的最严重的漏洞之一。据安全研究人员称,WhatsApp中存在一个安全问题,可能会导致更多用户被动地永远离开WhatsApp。恶意攻击者可以轻易地利用这个漏洞,将受害者的WhatsApp账户锁定,并且时间还是无限期的。

根据研究人员Luis Márquez Carpintero和Ernesto Canales Pereña谈到,攻击者甚至不需要任何特定的软件或培训,他们可以利用这个问题,而这一切只需要找到受害人的电话号码就可以。

那么,这一漏洞是如何被利用的呢?每当你使用新设备登录时,WhatsApp需要用户进行双因素验证。为此,用户的手机会得到一个六位数的代码进行验证,如果多次输入错误的代码,账户会自动暂停12小时。

攻击者可以利用这种验证方式,在新设备上安装WhatsApp,输入指定手机号码,并反复输入错误的验证码。这本来算不上漏洞,因为这将阻止受害者在接下来的12小时内登录新设备,但不会影响当前正在使用的设备上安装的WhatsApp。

为了防止在新设备上登录,攻击者只需要重复三次这个漏洞,在第三次的时候,应用暂停计时器就会中断,并显示-1秒。一旦这个漏洞出现,WhatsApp会永久不会让指定账户在新设备上登录。至于当前的设备,WhatsApp依然继续正常工作。然而,事情还没有结束。

最后的攻击会破坏你当前的安装,用户将被永久锁定在账户登录系统之外。为此,攻击者需要在电子邮件中向WhatsApp发送电子邮件,要求该服务停用该电话号码。WhatsApp会发送一个自动响应,要求攻击者确认号码,一旦确认,WhatsApp将在不知情的情况下自动冻结账户。

这意味着当前安装的WhatsAppbanben 立即停止工作,设备上将看到一个通知,上面写着 "您的电话号码不再在此手机上注册WhatsApp。这可能是因为您在其他手机上注册了它。如果您没有这样做,请验证您的电话号码以重新登录到您的账户。"  之后,当试图验证号码时,受害者会看到之前提到的-1秒的暂停计时器,将根本无法重新登录。

由于这种攻击完全不需要专业的设备或技术知识,这就更加危险了,公司需要在事态失控之前立即解决它。

推荐关键词

24小时热搜

查看更多内容

大家正在看

Mr. Car品牌与Mr. Car域名

Facebook也注册了.car域名 但真相却是这样

隐藏选项预示iOS in the Car通过AirPlay实现

易到用车:越用越省钱 Lucky Car车型清凉一夏

Flyme for Car要来了?魅族:正在有序开发中

戴姆勒Car2Share停服一周后重新运行

Apple Car Keys支持宝马车型有哪些

Car2go真的是在大成本的追摩拜单车的热点么?

苹果CEO库克出席Viva Tech回应AR、Apple Car传闻

魅族官宣:Flyme for Car首辆合作汽车来了

Apple Car开发遇阻发布时间或跳票一年