WhatsApp中的安全漏洞
我们希望WhatsApp会在不久的将来修复的安全漏洞可能会让您在大约 12 小时或更长时间内没有帐户。
这个问题已经被两位名叫路易斯·马尔克斯·卡平特罗和埃内斯托·卡纳莱斯·佩尼亚的西班牙研究人员揭露了。此错误允许您暂时阻止帐户,但在任何情况下都不允许您访问我们在应用程序中的聊天、消息或联系人。
任何知道您电话号码的人都可以阻止您访问WhatsApp应用程序:
正如您将在下面看到的,在WhatsApp中引发安全漏洞的机制非常简单。
一个人在手机上安装WhatsApp应用程序并输入您的号码以激活该服务。无法验证您的身份,因为验证消息将到达我们,它输入了几个失败的随机验证密钥,导致应用程序在多次尝试后,不允许攻击者输入新代码 12 小时。
目前WhatsApp将继续为我们工作,但这就是问题的来源。试图在他们的手机上激活我们帐户的人会从为此场合创建的电子邮件(例如新的 Gmail 帐户)发送一封电子邮件到 WhatsApp 支持地址。在此消息中,告知您的手机已被盗或丢失并要求停用该服务就足够了。
WhatsApp 通过自动化流程处理此信息,相信攻击者的身份是您的身份,并立即暂停您的帐户。你怎么看?
如果我们遇到这种情况,我们将不得不等待 12 小时期限结束才能激活帐户。不知道 12 小时倒计时何时开始,您将不得不随机尝试直到倒计时结束。一旦服务恢复,你将再次暴露在攻击者面前,一遍又一遍地重复操作。
我们建议避免此 WhatsApp 安全漏洞:
目前几乎无能为力,但我们可以在收到到达我们终端的第一条验证消息后立即提醒 WhatsApp 我们想要访问我们的帐户。为此,我们将向 WhatsApp 支持人员写一封电子邮件,说明他们想冒充我们的身份,并以此通知我们的帐户可能会暂时停用。
我们将不得不这样做,而WhatsApp没有补救它,而且他们目前似乎不打算这样做。
大家好
