WhatsApp瑕疵可讓用戶停用任何人的帳號

根據(jù)Forbes的報(bào)導(dǎo)，兩名研究人員Luis Márquez Carpintero與Ernesto Canales Perea上周末發(fā)現(xiàn)了WhatsApp有個(gè)瑕疵，可以讓用戶停用WhatsApp用戶的帳號。

這個(gè)瑕疵很簡單，問題出在WhatsApp的雙因素認(rèn)證機(jī)制，當(dāng)一名用戶在新設(shè)備上安裝WhatsApp時(shí)，系統(tǒng)會(huì)要求用戶輸入電話號碼來啟用該服務(wù)，同時(shí)傳送簡訊至手機(jī)來確認(rèn)用戶身分。假設(shè)這名用戶是惡意的，輸入的是別人的電話號碼，盡管取不到簡訊，卻持續(xù)嘗試輸入錯(cuò)誤的認(rèn)證碼，之後WhatsApp便會(huì)拒絕產(chǎn)生認(rèn)證碼，時(shí)間長達(dá)12小時(shí)。

其實(shí)這時(shí)受害者的WhatsApp并不會(huì)受到干擾，仍可正常使用，只是無法進(jìn)行雙因素認(rèn)證。但若惡意用戶寄出電子郵件予WhatsApp，告知手機(jī)被竊或遺失，必須停用原有的帳號，那麼該帳號就會(huì)直接被停用，還會(huì)在30天之後被移除。

就算受害者此時(shí)自WhatsApp程序收到停用通知，企圖取回帳號，但12小時(shí)之內(nèi)已無法再用自己的電話號碼產(chǎn)生認(rèn)證碼。

惡意人士只要重覆上述手法就能摧毀受害者的WhatsApp使用經(jīng)驗(yàn)。

Forbes引用ESET安全專家Jake Moore的看法指出，這是一個(gè)令人擔(dān)憂的駭入手法，因?yàn)閃hatsApp并沒有隱藏模式，任何人只要輸入電話號碼就能確認(rèn)該帳號是否存在。而WhatsApp并未說是否要修補(bǔ)此一問題，僅說用戶在設(shè)置雙因素認(rèn)證時(shí)，提供包括電子郵件在內(nèi)的信息，將可協(xié)助客服解決此一不太能遇見的問題。