《富比士》(Forbes)報導WhatsApp有個嚴重的漏洞,只要知道電話號碼,就可以將他人WhatsApp帳號停用,而且根本不需要高深的駭客技術,一般用戶也能用。甚至還能阻止你重新進入。更誇張的是,即使是雙因素認證也無法阻止。
以下是攻擊的原理。
在一個超過20億人使用的平臺上,理論上不該發生這種事情。不過,根據資安研究人員 Luis Márquez Carpintero 和 Ernesto Canales Pereña表示,真的很簡單。
第一階段攻擊
首先,任何人都可以在手機上安裝WhatsApp,並在驗證螢幕上輸入你的電話號碼。然後,你會收到WhatsApp發來的帶有六位數認證碼的簡訊和電話。你還會看到WhatsApp通知,告訴你已經要求輸入認證碼,警告你不要分享認證碼。
因此,攻擊者可以在你正常使用WhatsApp的時候,對你的電話號碼進行攻擊。當他們遇到要求輸入認證碼時,故意重複輸入錯誤的內容。問題在於,WhatsApp的驗證過程限制了發送認證碼的次數,所以在幾次嘗試之後,攻擊者的WhatsApp會警告他,他已經試過太多次,要在12小時之後再嘗試。
這時,身為正確帳號擁有者的你,或許會收到正確的認證碼簡訊通知,但是你對於對方卻無能為力。因為你已經沒有辦法輸入認證碼了。
於是,當你手機上的WhatsApp繼續正常運行時,攻擊者已經阻止了任何新認證碼的發送或輸入驗證介面。現在不管是你或是他,都需要等12小時。
不過,這對你還不是問題,因為你還可以正常使用WhatsApp,你不需要驗證。
第二階段攻擊
所以,就來到了第二階段的攻擊。
攻擊者現在註冊一個新的電子郵寄地址,Gmail就可以了,然後發郵件到support@whatsapp.com「丟失/被盜帳號」郵件中說:我手機被偷了,請停用我的帳號,然後附上「你的」WhatsApp帳號。
好,我們現在可以看到,WhatsApp客服收到了一封聲稱是你的電話號碼擁有者的郵件。但是因為「你」手機掉了,所以他們其實無法查證這是否真的是你寄發給他們的,但是他們相信了這個攻擊者所言,停用了你的帳號。
一個多小時後,真正的你會突然發現你手機上的WhatsApp停止工作了,並且通知你「您的手機號碼在這部手機上不再能註冊使用WhatsApp」,它說「這可能是因為您在其他手機上註冊了同樣的帳號,如果您沒有這樣做,請驗證您的電話號碼以重新登錄到您的帳戶。」
這時,你可能會想要重新註冊一個新的WhatsApp帳戶。
不過,在你被停用的WhatsApp上,會要求你提供電話號碼,以便給你發送一個認證碼。然後當你輸入並確認號碼之後,卻發現還是收不到認證簡訊。因為之前你已經用這隻電話號碼,要求過要收認證簡訊了。
不過,就你感到困惑的時候,或許你會想到,好像不久之前你手機曾經收到過一份莫名其妙的認證簡訊。是不是這時候輸入這個簡訊上的認證碼,就好了呢?
並不是,因為之前攻擊者已經刻意嘗試太多次故意輸入錯的密碼了,所以這時你會收到的回覆是「你已經猜過太多次認證碼」,所以不能再產生新的認證碼代碼。你必須要在12小時之後再試一次。
不過,或許你會想十二個小時之後再試就好了?的確是可以這樣做,前提是攻擊者如果只是想作弄你的話。如果不是的話,攻擊者可不停重複這樣的攻擊,多次之後 WhatsApp 會出現 bug,原本說12小時之後再輸入的簡訊,會變成「-1秒」,當變成這個資訊時,你往後永遠都收不到驗證簡訊。
這時你的WhatsApp就被廢掉了。
因此,如果你雖然沒有申請,但手機上突然出現簡訊,告訴你你的認證碼的時候,基本上就代表有人在對你某個帳號進行嘗試登入。這時你可能需要提高警覺。
- 新聞來源:forbes
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!