WhatsApp身份验证系统中的一个新漏洞使攻击者可以将您锁定在应用程序之外,换句话说,可以停用您的帐户。如果您经常使用该应用程序,这听起来很吓人,但值得注意的是,完成该过程非常复杂,大约需要36个小时才能执行。
本周早些时候,安全研究人员路易斯·马尔克斯卡平特罗和埃内斯托·卡纳莱斯Pere?a通过在一篇文章中分享了他们的这一缺陷的发现福布斯。运作方式如下:
WhaleAlert:1000枚BTC从Coinbase转入币安:金色财经消息,据WhaleAlert数据显示,1000枚BTC(约21992416美元)从Coinbase转入币安。[2022/8/19 12:35:48]
安装WhatsApp后,攻击者会尝试通过请求身份验证码来尝试通过您的号码登录。
WhatsApp将在应用程序中包含Novi钱包:金色财经报道,作为美国试点计划的一部分,Facebook(已更名为Meta)已开始在WhatsApp上测试其Novi加密货币钱包。借助Novi,WhatsApp用户将能够通过该平台即时收款和交付付款。该更新已经通过Google Pay测试版程序提供,WhatsApp的版本为2.21.22.17。目前,在WhatsApp内测试Novi仅在该公司在美国的开发人员之间在内部完成,并且没有正式的公开发布日期。[2021/11/3 6:27:43]
在尝试一定次数后,WhatsApp会阻止发送代码12个小时。
巴西监管机构撤销相关制裁后该国央行仍暂停WhatsApp支付服务:此前消息,Facebook旗下聊天应用程序WhatsApp上个月15日正式宣布,将启动法币电子支付服务,该服务首先在巴西开展。然而,这一服务遭到了巴西官方的反对,巴西央行希望万事达卡和Visa卡停止处理WhatsApp的转账支付业务,同时巴西经济防务管理委员会(CADE)也已下令WhatsApp暂停支付业务的推进。6月30日,CADE方面表示,在接受了Facebook和Cielo(WhatsApp支付业务合作商)的反溃后,监管机构最初认定的风险已大幅降低,将撤销相关禁令。两家公司也已向CADE保证,其业务不会损害巴西支付行业的竞争格局。然而,尽管CADE方面的禁令已撤销,巴西央行却尚未做出让步,Cielo财务总裁GustavoSousa在一份声明中指出,巴西央行仍在分析这一业务,WhatsApp的支付业务仍处于暂停状态。(Cointelegraph)[2020/7/2]
同时,攻击者设置了一封新电子邮件,并向WhatsApp支持人员发送了“丢失/被盗的电话请求”,以停用您的帐户。
WhatsApp支持人员并不会真正验证该电子邮件地址是否与您的帐户相关联,因此会将您锁定在该应用程序之外。
此后,攻击者必须重复12小时的周期两次。
在这三个周期的最后,您和攻击者都将看到“-1秒后重试。”消息,同时尝试通过您的号码登录。
现在,您必须联系WhatsApp支持以恢复此帐户。
整个繁琐的操作听起来很麻烦,就像攻击者无法进行太多工作一样,只是将您拒之门外。这种方式不会提取任何数据或金钱。
但是令人担忧的是,WhatsApp支持中没有机制要求您验证自己是否是帐户所有者。另外,即使您设置了两因素身份验证,此方法也可以成功将您锁定。
WhatsApp在一份声明中说:“提供带有两步验证的电子邮件地址有助于我们的客户服务团队在遇到这种不太可能的问题时为人们提供帮助。”
为此,请转到“帐户”>“两步验证”,然后输入安全PIN后,您可以提供一个电子邮件ID进行恢复。此电子邮件ID也将帮助WhatsApp验证您的请求。但是,如果您被锁定,则可能仍必须通过电子邮件发送WhatsApp支持。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。