日前《富比士》(Forbes)報導,WhatsApp 出現多個嚴重漏洞,只要取得用戶的電話號碼,就可遠距將他人帳號永久「停用」,由於操作簡單不需駭客技術, 對全球 WhatsApp 用戶構成嚴重要脅。
攻擊者目前透過 WhatsApp 多次驗證無法再收到驗證簡訊的 bug,以及透過電郵向 WhatsApp 提供電話號碼讓帳號登出,故他人 WhatsApp 帳號就永遠無法登入。
WhatsApp 漏洞在於 12 小時內驗證手機簡訊的發送次數有限,攻擊者可不停輸入他人 WhatsApp 電話至簡訊無法發送,多次 12 小時後 WhatsApp 最終出現 bug,用戶就永遠無法再收到驗證簡訊,即使有設雙重驗證,也無法阻止攻擊。
攻擊者之後再透過電郵向 WhatsApp 提供他人電話號碼,讓帳號登出,輕易永遠停用他人的 WhatsApp。
最後受害者會無法再登入 WhatsApp,驗證手機簡訊倒數會一直卡在 -1 秒,永遠無法驗證登入此號碼的 WhatsApp。
由於漏洞操作簡單不需駭客技術, 對全球 WhatsApp 用戶構成嚴重要脅。如果突然不斷收到 WhatsApp 驗證碼,很有可能帳戶就是受到攻擊,目前暫時沒有解決方法。
(本文由 Unwire HK 授權轉載;首圖來源:Flickr/Tim Reckmann CC BY 2.0)