WhatsApp瑕疵可讓用戶停用任何人的帳號

根據(jù)Forbes的報導，兩名研究人員Luis Márquez Carpintero與Ernesto Canales Perea上周末發(fā)現(xiàn)了WhatsApp有個瑕疵，可以讓用戶停用WhatsApp用戶的帳號。

這個瑕疵很簡單，問題出在WhatsApp的雙因素認證機制，當一名用戶在新設備上安裝WhatsApp時，系統(tǒng)會要求用戶輸入電話號碼來啟用該服務，同時傳送簡訊至手機來確認用戶身分。假設這名用戶是惡意的，輸入的是別人的電話號碼，盡管取不到簡訊，卻持續(xù)嘗試輸入錯誤的認證碼，之後WhatsApp便會拒絕產(chǎn)生認證碼，時間長達12小時。

其實這時受害者的WhatsApp并不會受到干擾，仍可正常使用，只是無法進行雙因素認證。但若惡意用戶寄出電子郵件予WhatsApp，告知手機被竊或遺失，必須停用原有的帳號，那麼該帳號就會直接被停用，還會在30天之後被移除。

就算受害者此時自WhatsApp程序收到停用通知，企圖取回帳號，但12小時之內(nèi)已無法再用自己的電話號碼產(chǎn)生認證碼。

惡意人士只要重覆上述手法就能摧毀受害者的WhatsApp使用經(jīng)驗。

Forbes引用ESET安全專家Jake Moore的看法指出，這是一個令人擔憂的駭入手法，因為WhatsApp并沒有隱藏模式，任何人只要輸入電話號碼就能確認該帳號是否存在。而WhatsApp并未說是否要修補此一問題，僅說用戶在設置雙因素認證時，提供包括電子郵件在內(nèi)的信息，將可協(xié)助客服解決此一不太能遇見的問題。