WhatsApp 验证机制出现漏洞时间发酵几个星期后,官方虽然没有针对这起事件做出任何回应,不过小编发现现在发送电邮要求停用账号后,WhatsApp 会要求发件人提交电话账单或是合约以进行身份验证。进一步遏制有心人士进一步骚扰。
然而,要是账号持有人能在 WhatsApp 应用程序提示发出验证码时(见原文图三)能够先发制人,阻止有心人士的进一步行动那就更好咯!
下接原文
知名即时通讯应用程序 WhatsApp 近日爆出严重的漏洞,有心人士只需掌握目标的电话号码,就能轻而易举地利用验证机制中的的两个漏洞,导致目标(下称“受害者”)的 WhatsApp 账号无限期被停用!
根据 Forbes 发布的报道,有心人士只需在任何一个智能设备安装 WhatsApp 应用程序,在注册验证的步骤输入受害者的电话号码,且不断地输入无效的六位数代码,直至超出 WhatsApp 注册验证次数的顶限,必须在 12 小时后才能再次尝试验证。
期间,受害者手机上的 WhatsApp 应用程序会提示“已请求发送 WhatsApp 注册验证码”(图三),也会收到短信或是通话的验证代码,但 WhatsApp 应用程序上的提示并没有加以说明受害者能够采取的步骤以保障自己的账号不被入侵,以致多数人没有意识到潜在的风险,仅仅以为不加理会收到的验证代码就能安然无事。
超出 WhatsApp 注册验证次数的顶限后,有心人士只需用任意一个电邮地址,根据 WhatsApp 帮助页面的步骤发出电邮请求,并在电邮中包含“遗失/失窃:请注销我的帐号服”及受害者完整电话号码等关键字的内容,WhatsApp 就会自动停用受害者的账号,完全不需要验证这封电邮是否由账号持有人本身发出!
一旦有心人士得逞,受害者手机上的 WhatsApp 就会被停用,若是受害者想要继续使用就只能验证身份,但已为时已晚,受限于验证次数的顶限,只能苦等 12 小时。但就像之前提到的,目前为止 WhatsApp 并没有任何措施让账号持有人阻止这类的“恶作剧”,若是有心人士不肯善罢甘休,再重复要求验证及停用账号的循环两次,WhatsApp 就会出现在“-1 秒”后再尝试验证码,此时受害者的 WhatsApp 账号就会永久被停用。
虽然所目前并没有迹象表示有人的账号透过这方式被恶意停,但考虑到这个操作严格来说并不需要任何技术,且门槛相当低,不排除有心人士透过这项机制的漏洞进行勒索。
WhatsApp 发言人在回应 Forbes 时建议使用者开启两步验证,并且附上电邮地址(虽然小编看不出这两点的关联性,毕竟在发出电邮时并没有查证发件人是否就是账号持有人)。同时仅表示类似的行为抵触了该公司的服务条款。然而这对有心人士完全起不了阻吓,也间接看出 WhatsApp 目前并没有让使用者保障自己账号不被恶意停用的机制。
另一点值得注意的是,就目前 WhatsApp 帮助页面说明不会验证电邮地址的真实性及准确性(这算不算是个漏洞??),因此请务必输入正确及能够登入的电邮地址。
由于我们不会验证此电邮地址以确认其准确性,因此请确保您所提供的电子邮件地址准确,同时您可访问该电邮地址。WhatsApp
正所谓“敌人在暗我在明”,这类的恶意导致他人账号停用的行为可说是防不胜防,在 WhatsApp 针对这个漏洞采取任何措施之前,大家只能保持警惕,若是收到可疑的 WhatsApp 验证信息/来电,请务必在最短的时间内透过手机上的 WhatsApp 应用程序,前往 “帮助” > “联系我们”与 WhatsApp 团队取得联系,防止有心人士得逞。若是你的账号不幸地被停用了,也可以透过 WhatsApp 官网或是发电邮到 support@whatsapp.com 寻求援助。
(PS:希望在有人受这个漏洞影响之前得到解决,否则,后果可比更新隐私政策还来的严重)
本文由一灯不是和尚于2021年11月15日更新;如果您有什么意见或建议,请在文章下面评论区留言反馈。
Normally I do not read article on blogs, however I
would like to say that this write-up very compelled me to take
a look at and do it! Your writing style has been surprised me.
Thanks, quite nice post.