WhatsApp瑕疵可讓用戶停用任何人的帳號(hào)

根據(jù)Forbes的報(bào)導(dǎo)，兩名研究人員Luis Márquez Carpintero與Ernesto Canales Perea上周末發(fā)現(xiàn)了WhatsApp有個(gè)瑕疵，可以讓用戶停用WhatsApp用戶的帳號(hào)。

這個(gè)瑕疵很簡(jiǎn)單，問(wèn)題出在WhatsApp的雙因素認(rèn)證機(jī)制，當(dāng)一名用戶在新設(shè)備上安裝WhatsApp時(shí)，系統(tǒng)會(huì)要求用戶輸入電話號(hào)碼來(lái)啟用該服務(wù)，同時(shí)傳送簡(jiǎn)訊至手機(jī)來(lái)確認(rèn)用戶身分。假設(shè)這名用戶是惡意的，輸入的是別人的電話號(hào)碼，盡管取不到簡(jiǎn)訊，卻持續(xù)嘗試輸入錯(cuò)誤的認(rèn)證碼，之後WhatsApp便會(huì)拒絕產(chǎn)生認(rèn)證碼，時(shí)間長(zhǎng)達(dá)12小時(shí)。

其實(shí)這時(shí)受害者的WhatsApp并不會(huì)受到干擾，仍可正常使用，只是無(wú)法進(jìn)行雙因素認(rèn)證。但若惡意用戶寄出電子郵件予WhatsApp，告知手機(jī)被竊或遺失，必須停用原有的帳號(hào)，那麼該帳號(hào)就會(huì)直接被停用，還會(huì)在30天之後被移除。

就算受害者此時(shí)自WhatsApp程序收到停用通知，企圖取回帳號(hào)，但12小時(shí)之內(nèi)已無(wú)法再用自己的電話號(hào)碼產(chǎn)生認(rèn)證碼。

惡意人士只要重覆上述手法就能摧毀受害者的WhatsApp使用經(jīng)驗(yàn)。

Forbes引用ESET安全專家Jake Moore的看法指出，這是一個(gè)令人擔(dān)憂的駭入手法，因?yàn)閃hatsApp并沒(méi)有隱藏模式，任何人只要輸入電話號(hào)碼就能確認(rèn)該帳號(hào)是否存在。而WhatsApp并未說(shuō)是否要修補(bǔ)此一問(wèn)題，僅說(shuō)用戶在設(shè)置雙因素認(rèn)證時(shí)，提供包括電子郵件在內(nèi)的信息，將可協(xié)助客服解決此一不太能遇見(jiàn)的問(wèn)題。