根據Forbes的報導,兩名研究人員Luis Márquez Carpintero與Ernesto Canales Pereña上周末發現了WhatsApp有個瑕疵,可以讓使用者停用WhatsApp用戶的帳號。

這個瑕疵很簡單,問題出在WhatsApp的雙因素認證機制,當一名使用者在新裝置上安裝WhatsApp時,系統會要求使用者輸入電話號碼來啟用該服務,同時傳送簡訊至手機來確認使用者身分。假設這名使用者是惡意的,輸入的是別人的電話號碼,儘管取不到簡訊,卻持續嘗試輸入錯誤的認證碼,之後WhatsApp便會拒絕產生認證碼,時間長達12小時。

其實這時受害者的WhatsApp並不會受到干擾,仍可正常使用,只是無法進行雙因素認證。但若惡意用戶寄出電子郵件予WhatsApp,告知手機被竊或遺失,必須停用原有的帳號,那麼該帳號就會直接被停用,還會在30天之後被移除。

就算受害者此時自WhatsApp程式收到停用通知,企圖取回帳號,但12小時之內已無法再用自己的電話號碼產生認證碼。

惡意人士只要重覆上述手法就能摧毀受害者的WhatsApp使用經驗。

Forbes引用ESET安全專家Jake Moore的看法指出,這是一個令人擔憂的駭入手法,因為WhatsApp並沒有隱藏模式,任何人只要輸入電話號碼就能確認該帳號是否存在。而WhatsApp並未說是否要修補此一問題,僅說用戶在設定雙因素認證時,提供包括電子郵件在內的資訊,將可協助客服解決此一不太能遇見的問題。

熱門新聞


Advertisement