國際新聞

WhatsApp超級漏洞 可永久停用他人賬號


[2021-04-13] - 568人點閱
美國財經雜誌福布斯報道,研究人員日前發現即時通訊程式WhatsApp的雙重認證機制存在漏洞,能讓惡意用戶永久停用其他人的賬號。

兩步攻擊 30天後刪除

這個漏洞源於WhatsApp的雙重認證機制,當一名使用者在新裝置上安裝WhatsApp時,系統會要求輸入電話號碼來啟用該服務,同時傳送短訊至手機,來確認使用者身份。

假若這是一名惡意使用者,輸入別人的電話號碼,儘管收不到短訊,卻持續嘗試輸入錯誤的認證碼,之後WhatsApp便會拒絕提供認證碼長達12小時。

這時受害人的WhatsApp並不會受到干擾,仍可正常使用,只是無法進行雙重認證。

但若惡意用戶向WhatsApp發出電郵,告知手機被盜竊或遺失,必須停用原有賬號,那麼該賬號就會直接被停用,還會在30天後被刪除。

即使受害人此時自WhatsApp程式收到停用通知,企圖取回賬號,但已無法再用自己的電話號碼收取認證碼。

有電話號碼可出事

電腦安全軟件公司ESET的專家穆爾指出,這是一個令人憂慮的手法,原因是WhatsApp並沒有隱藏模式,任何人只要輸入電話號碼,就能確認該賬號是否存在。

而WhatsApp並未表示是否需修補這漏洞,僅稱用戶在設定雙重認證時,提供包括電郵在內的資訊,當用戶遇到這「不太可能出現」的問題時,客戶服務團隊便可提供協助。


上题 : 設計美最大龐氏騙局 馬多夫獄中去世

下题 : 巴西修正提升科興疫苗有效率