如果您'重新使用Whatsapp的频繁用户,您可能希望在本周末在其安全性中发现的令人不安的洞。攻击者可以完全暂停WhatsApp帐户,而无需对个人用户的任何追索权,他们所需的只是您的电话号码。在撰写本文时的写作时。
这个新发现的缺陷使用两个单独的向量。攻击者在新设备上安装WhatsApp并进入您的号码以激活聊天服务。他们可以验证它,因为当然,双因素身份验证系统正在将登录提示发送到手机。经过多次重复和失败的尝试后,您的登录将被锁定为12小时。
这里'棘手的部分进来的地方:掌握了锁定,攻击者将支持消息从他们的电子邮件地址发送到WhatsApp,声称他们的(您的)手机已丢失或被盗,以及与您相关的帐户编号需要停用。 whatsapp"验证"这是一个回复电子邮件,并暂停您的帐户,无需您的任何输入。攻击者可以连续多次重复该过程以在您的帐户上创建半永久锁。
该攻击是一对安全研究人员,LuismárquezCarpintero和Ernesto CalalesPereña的概念证据,并于福布斯首次报道。结果是令人不安的,但至少,这种方法可以用来实际获得对帐户的访问,仅仅可以通过合法所有者阻止访问。保密文本消息和联系人未公开。
没有迹象表明这种技术在野外使用这种技术。但是,当按下评论时,Whatsapp是犹豫不决的,并没有表明它努力解决其安全性的洞。代表说,提供具有双因素身份验证凭据的电子邮件地址可以帮助避免这种假设方案,但仍然对WhatsApp的责任在其自身最佳实践之后对WhatsApp进行了责任。
WhatsApp由Facebook拥有,警告使用此漏洞违反其服务条款。哪个ISN' t大多数威慑力,因为它可以与任何移动设备和一次性电子邮件匿名进行。作为一个Android警察的工作人员,也许"它'当有人这样做到Zuckerberg' s数字时,它最近在Facebook帐户转储中泄露。"它似乎是安全问题,以及对它们的响应不太满意,将在Facebook中继续存在问题,并在成长的公司帝国中存在问题。