儘管這樣做的結果更令人惱火而不是危險,但WhatsApp雙因素身份驗證系統的一個新漏洞似乎確實讓攻擊者相對容易地將您鎖定在帳戶之外不同的時間。而一個糟糕的演員需要做的就是知道你和WhatsApp賬戶相關聯的電話號碼。就這樣。攻擊本身很容易執行。正如安卓警察所描述的:
這個新發現的缺陷使用了兩個獨立的向量。攻擊者在新裝置上安裝WhatsApp並輸入您的號碼以啟用聊天服務。他們無法驗證它,因為當然,雙因素身份驗證系統將向您的**傳送登入提示。多次重覆嘗試失敗後,您的登入被鎖定12小時。
棘手的部分就在這裡:當你的帳戶被鎖定時,攻擊者會從他們的電子郵件地址向WhatsApp傳送一條支援訊息,聲稱他們(你的)**已經丟失或被盜,需要停用與你的號碼相關的帳戶。WhatsApp透過回覆郵件“驗證”了這一點,併在沒有任何輸入的情況下暫停了您的帳戶。攻擊者可以連續多次重覆此過程,在您的帳戶上建立半永久性鎖。
這裡的一線希望是,這些攻擊實際上不能被用來入侵你的帳戶,而只是讓你的帳戶在一段時間內無法使用(如果攻擊者真的是專用的,則可能是永久性的)。
WhatsApp的代表告訴福布斯,保護自己免受此類攻擊的最簡單方法是確保你已經將電子郵件地址與你的兩步驗證過程關聯起來,這樣攻擊者就無法欺騙你的身份。你現在可以透過開啟WhatsApp,載入它的設定,點選兩步驗證,輸入你的電子郵件地址(或者檢查以確保你已經這樣做了)。
這本身不會阻止攻擊,但如果你發現自己處於“阻止驗證我的帳戶”反饋迴圈中,WhatsApp的客服團隊會更容易幫助你,如果攻擊者伸手去攻擊你的話,將會發生什麼,聲稱你的帳戶被駭客攻擊了,而WhatsApp應該停用它(然後,您將“接收”程式碼以還原錯誤的取消註冊,只有由於之前的技巧,您無法輸入它們,這將暫時禁止您輸入太多不正確的2FA程式碼。)
正如《福布斯》雜誌的扎克·多夫曼所寫:
這並不複雜,應該很容易解決。WhatsApp可以確保註冊了2FA的裝置上的應用程式可以防止這個問題,使用2FA作為斷路器。更簡單的說,當多裝置訪問最終出現時,WhatsApp可以使用可信裝置概念,使一個經過驗證的應用程式能夠驗證另一個應用程式。這是一個更好的系統,可以關閉此漏洞。
我希望WhatsApp正在研究這個問題,並將修補2fA驗證過程(或帳戶禁用過程),以使這些型別的drive-by-style攻擊無效。同時,如果可能的話,也許可以考慮完全使用不同的WhatsApp號碼,以儘量減少被鎖在門外的風險。
... 那麼欺詐者如何侵入你的Instagram個人資料呢?這種情況的後果是什麼?你能做些什麼來保護你的Instagram帳戶? ...
...路釣魚企圖欺騙谷歌文件並濫用谷歌OAuth系統。攻擊者是如何入侵谷歌賬戶的?什麼資料丟失了?你怎麼知道?讓我們看看我們所知道的以及你如何保護自己。 ...
WhatsApp是Facebook旗下的訊息傳遞平臺,是全球最受歡迎的訊息傳遞應用之一。據估計,超過10億人使用該應用程式,每天傳送超過650億條資訊。 ...
人們使用端到端加密的安全訊息服務,如WhatsApp或Telegram,因為他們相信這樣可以使他們的訊息和裝置更加安全。雖然這通常是正確的,但這些應用程式存在安全問題,使用者需要注意。 最近,在執行WhatsApp和Te...
...監視你的資訊和竊取你的2FA程式碼。使用iMessage、Signal或WhatsApp等加密訊息應用程式可以防止多管閒事的駭客。 ...
WhatsApp是世界上最流行的訊息應用程式之一,因此儘可能多地瞭解它是有意義的。除了簡訊之外,WhatsApp還可以讓你傳送影象,給別人打電話,甚至上傳音訊資訊。 ...