尽管设置了2FA但WhatsApp漏洞仍可能使用户受阻
在过去的几年中,WhatsApp一直处于不良PR中,但似乎最近情况正在升温。尽管如此,由于新的漏洞甚至企业政策不断涌现,消息传递服务仍然吸引着数以百万计的用户,每天似乎面临着更大的风险。最新消息可能是最令人担忧的消息之一,因为即使适当采取了所有安全措施,它也可能导致任何用户永远失去对其帐户的访问权限。
由于如今诱使用户将帐户的密钥移交给他们几乎变得太容易了,安全专家强烈建议使用强密码,或者至少使用密码生成器和管理器,以及两因素身份验证或2FA。这些策略共同作用,即使黑客可以访问用户密码,也可以防止帐户被劫持。不幸的是,他们不能保护WhatsApp用户免受自己帐户的封锁。
《福布斯》报道了一个令人费解的过程,黑客在此过程中耐心地引发了一系列事件,有效地导致了用户被阻止访问其帐户。该过程没有使用复杂的工具或黑客手段,主要是耐心和蛮力。但是,据称由于WhatsApp流程中的某些假设和缺陷而使之成为可能。
知道与WhatsApp帐户关联的电话号码的黑客可以尝试在自己的手机上激活它。当然,如果帐户启用了2FA,他们将不会这样做,但是他们可以触发失败尝试次数的限制,从而导致用户无法在12小时内实际激活新手机。似乎确实存在一个错误,在第三个12小时的“休息”之后,WhatsApp将无限期阻止任何通过2FA激活帐户的尝试。在此期间,黑客可以向WhatsApp发出一封电子邮件,要求停用与该帐户关联的号码,这时将要求用户再次对其帐户进行身份验证。由于他们不受无限时限的限制,因此除非获得了WhatsApp的支持,否则他们或多或少会被永久锁定在帐户之外。
据报道,WhatsApp轻描淡写了该策略的严重性,警告尝试这样做的用户将面临可怕的后果。当然,将采用这种技术的黑客也不必担心这些。这家Facebook公司似乎并不担心更新其流程和系统,但拥有数百万的用户群,当此漏洞开始被广泛利用时,它可能会被迫这样做。