如何防止攻擊者將您鎖定在whatsapp之外
儘管這樣做的結果更令人惱火而不是危險,但WhatsApp雙因素身份驗證系統的一個新漏洞似乎確實讓攻擊者相對容易地將您鎖定在帳戶之外不同的時間。而一個糟糕的演員需要做的就是知道你和WhatsApp賬戶相關聯的電話號碼。就這樣。攻擊本身很容易執行。正如安卓警察所描述的:
這個新發現的缺陷使用了兩個獨立的向量。攻擊者在新裝置上安裝WhatsApp並輸入您的號碼以啟用聊天服務。他們無法驗證它,因為當然,雙因素身份驗證系統將向您的**傳送登入提示。多次重覆嘗試失敗後,您的登入被鎖定12小時。
棘手的部分就在這裡:當你的帳戶被鎖定時,攻擊者會從他們的電子郵件地址向WhatsApp傳送一條支援訊息,聲稱他們(你的)**已經丟失或被盜,需要停用與你的號碼相關的帳戶。WhatsApp透過回覆郵件“驗證”了這一點,併在沒有任何輸入的情況下暫停了您的帳戶。攻擊者可以連續多次重覆此過程,在您的帳戶上建立半永久性鎖。
這裡的一線希望是,這些攻擊實際上不能被用來入侵你的帳戶,而只是讓你的帳戶在一段時間內無法使用(如果攻擊者真的是專用的,則可能是永久性的)。
WhatsApp的代表告訴福布斯,保護自己免受此類攻擊的最簡單方法是確保你已經將電子郵件地址與你的兩步驗證過程關聯起來,這樣攻擊者就無法欺騙你的身份。你現在可以透過開啟WhatsApp,載入它的設定,點選兩步驗證,輸入你的電子郵件地址(或者檢查以確保你已經這樣做了)。
這本身不會阻止攻擊,但如果你發現自己處於“阻止驗證我的帳戶”反饋迴圈中,WhatsApp的客服團隊會更容易幫助你,如果攻擊者伸手去攻擊你的話,將會發生什麼,聲稱你的帳戶被駭客攻擊了,而WhatsApp應該停用它(然後,您將“接收”程式碼以還原錯誤的取消註冊,只有由於之前的技巧,您無法輸入它們,這將暫時禁止您輸入太多不正確的2FA程式碼。)
正如《福布斯》雜誌的扎克·多夫曼所寫:
這並不複雜,應該很容易解決。WhatsApp可以確保註冊了2FA的裝置上的應用程式可以防止這個問題,使用2FA作為斷路器。更簡單的說,當多裝置訪問最終出現時,WhatsApp可以使用可信裝置概念,使一個經過驗證的應用程式能夠驗證另一個應用程式。這是一個更好的系統,可以關閉此漏洞。
我希望WhatsApp正在研究這個問題,並將修補2fA驗證過程(或帳戶禁用過程),以使這些型別的drive-by-style攻擊無效。同時,如果可能的話,也許可以考慮完全使用不同的WhatsApp號碼,以儘量減少被鎖在門外的風險。
- 發表於 2021-05-11 19:32
- 閱讀 ( 27 )
- 分類:安全
你可能感興趣的文章
你的instagram賬戶如何被駭客入侵以及如何阻止
... 那麼欺詐者如何侵入你的Instagram個人資料呢?這種情況的後果是什麼?你能做些什麼來保護你的Instagram帳戶? ...
你需要知道的關於谷歌檔案釣魚騙局的一切
...路釣魚企圖欺騙谷歌文件並濫用谷歌OAuth系統。攻擊者是如何入侵谷歌賬戶的?什麼資料丟失了?你怎麼知道?讓我們看看我們所知道的以及你如何保護自己。 ...
whatsapp安全嗎?使用者需要了解的5種安全威脅
WhatsApp是Facebook旗下的訊息傳遞平臺,是全球最受歡迎的訊息傳遞應用之一。據估計,超過10億人使用該應用程式,每天傳送超過650億條資訊。 ...
媒體檔案劫持對android上whatsapp和telegram的影響
人們使用端到端加密的安全訊息服務,如WhatsApp或Telegram,因為他們相信這樣可以使他們的訊息和裝置更加安全。雖然這通常是正確的,但這些應用程式存在安全問題,使用者需要注意。 最近,在執行WhatsApp和Te...
什麼是sim卡交換?5個小貼士,以保護自己從這個騙局
...監視你的資訊和竊取你的2FA程式碼。使用iMessage、Signal或WhatsApp等加密訊息應用程式可以防止多管閒事的駭客。 ...
如何祕密收聽whatsapp音訊資訊(不需要耳機)
WhatsApp是世界上最流行的訊息應用程式之一,因此儘可能多地瞭解它是有意義的。除了簡訊之外,WhatsApp還可以讓你傳送影象,給別人打電話,甚至上傳音訊資訊。 ...
用8個免費的安全工具保護你的mac電腦
... 讓我們來看看這個列表,以及如何使用這些工具來更好地保護Mac。 ...
遭遇網路釣魚攻擊後該怎麼辦
...太遲了,攻擊者已經將你從你的帳戶中鎖定,你仍然可以防止重大損失。 ...
什麼是中間人攻擊?
... 那麼,什麼是中間人攻擊,如何才能防止自己成為中間人攻擊的犧牲品呢? ...
什麼是csrf攻擊?如何防止它們?
... 攻擊者如何利用csrf劫持會話:示例 ...
