亮點:
- WhatsApp中的“新”安全漏洞允許以微不足道的方式阻止和刪除帳戶 - 只有電話號碼就足夠了;
- 這個問題應該很長一段時間,部分原因是未能檢查使用該應用程序的丟失設備的報告發送者,以及用於生成驗證代碼的系統中的錯誤。
近幾個月來,WhatsApp Messenger開發人員有理由抱怨。這新的,,,,有爭議的服務條款阻止了該應用程序的數百萬用戶,並且報告惡意軟件不太可能改善其形象。好像這還不夠,使用WhatsApp的人必鬚麵對一個新的(我們稱之為)漏洞,該漏洞允許刪除用戶的漏洞 - 而沒有任何黑客知識。
這個問題首先在福布斯Zak Doffman的文章。研究人員路易斯·馬爾克斯(LuisMárquez)Carpintero和Ernesto Canales Perena證明,他們能夠以可怕的簡單方式阻止他的WhatsApp。通過應用程序的兩個重疊問題,這是可能的。第一步是試圖從另一個設備登錄到使者,並錯誤地輸入驗證代碼。嘗試失敗後,WhatsApp將阻止12小時的進一步組合的發送。
突然的通知和短信消息可能會帶來令人不愉快的驚喜。
在此之前,對於用戶而言,這並不是一個主要問題,撇開隨後的通知和SMS的輕率(除非它們從應用程序中登錄)。但是,現在“黑客”可以從新的電子郵件中向WhatsApp支持發送一條消息,涉及已安裝該應用程序的設備丟失,並要求停用帳戶。這就是事情開始變得有趣的地方。路易斯·馬克斯(LuisMárquez)Carpintero和Ernesto Canales Perena的實驗表明,刪除WhatsApp帳戶的過程是完全自動的,而無需確認發件人的身份。說到其中,包含兩步登錄驗證並不會阻礙任何這些和隨後的步驟。
當然,我們有30天的停用帳戶被永久刪除。只需登錄WhatsApp就足以停止該過程。除非我們無法獲得驗證代碼,因為有人以前曾濫用過該系統,並且在所需的12小時後再次進行。
但是,對於“黑客”來說,這仍然是很多工作,可以假定在遲早或晚的時間內,用戶將設法在攻擊者面前獲取代碼並將其登錄到帳戶中。問題在於,實際阻止訪問不是一個月的問題,而是只有36小時。如果我們一次一次“超載”發電機時間,那麼在第三個週期而不是12小時,該程序使我們等待“ -1秒”,這 - 您可以輕鬆地猜測 - 完全阻止了代碼的輸入。也沒有什麼可以阻止我們逆轉步驟的順序:首先強制永久塊,然後將電子郵件發送給技術支持。
Facebook幾個月來知道WhatsApp的問題。
最有趣的是,《福布斯》報導的錯誤絕不是新的。以色列公司Pandora Security的首席執行官Tsachi Ganot說,他的團隊在12月報告(通過哈雷茲)類似的漏洞。重要的是,即使是潘多拉安全也不是第一個發現漏洞的人。該公司通過客戶的問題了解了這一點,然後才測試了其機制。在接受《福布斯》採訪時,加諾特還指出,該問題已報告給Facebook,但該報告完全忽略了。只有此後,Pandora Security才發表了一篇專門針對漏洞的文章。
顯然,Zak Doffman的文本也是如此,因為- 正如我們在Forbes發布的更新中所讀到的那樣,記者最早在3月25日向Facebook報告了他的發現。該公司沒有對計劃解決此問題的計劃說一句話“錯誤。”該公司只保證那些從事這種做法的人將面臨後果。還建議在兩步驗證期間添加電子郵件地址,如果用戶遇到這種類型的問題,這應該很有幫助。
所有這些混亂中唯一的祝福是,這種漏洞不能使某人接管我們的帳戶或任何數據。換句話說,“黑客”從攻擊中沒有直接的好處。並不是說不乏人會出於純粹的惡意來做到這一點。之後和其他“有趣”之後有可能資訊,更多的用戶將遵循馬克·扎克伯格並切換到有競爭力的使者。