WhatsApp身份验证系统中的一个新漏洞使攻击者可以将您锁定在应用程序之外,换句话说,可以停用您的帐户。如果您经常使用该应用程序,这听起来很吓人,但值得注意的是,完成该过程非常复杂,大约需要36个小时才能执行。
本周早些时候,安全研究人员路易斯·马尔克斯卡平特罗和埃内斯托·卡纳莱斯Pere?a通过在一篇文章中分享了他们的这一缺陷的发现福布斯。运作方式如下:
本周Whale Alert监测到7.9万枚BTC在匿名地址间转账:Whale Alert从1月11日到1月14日总共监测到51笔大额比特币转账,其中15笔在匿名钱包地址之间发生,转账总额为79204BTC(约合29.6亿美元),其中最大的一笔是1月12日两地址间完成17283BTC的转账。[2021/1/14 16:08:02]
安装WhatsApp后,攻击者会尝试通过请求身份验证码来尝试通过您的号码登录。
WhaleShark推出的服饰潮牌E1337将推出忠诚代币$1337:12月7日,著名NFT收藏家WhaleShark发推表示,其服饰潮牌E1337将于12月10日22:00推出忠诚代币$1337,并将12月15日正式推出E1337潮牌服饰产品。[2020/12/7 14:24:22]
在尝试一定次数后,WhatsApp会阻止发送代码12个小时。
Whale Alert解释5月20日发推提醒“疑似中本聪比特币地址发生转账”的原因:此前消息,5月20日晚间,Whale Alert发推称疑似中本聪拥有的比特币地址发生转账,该推文发布后一小时内,比特币价格从近9800美元跌至9300美元。之后加密界分析该地址应该不属于中本聪。
针对记者提问“为什么小组当时决定标注这是‘可能是中本聪拥有的钱包’”,Whale Alert回复称,“我们将在不久的将来发表一篇文章介绍我们对中本聪的看法。这是社区里一个非常沉重的主题,我们想确定当我们发帖子的时候,我们没有对谁是主人做出明确的预测。这就是为什么我们当时说‘有可能’,我们并不认为目前可用的研究排除了中本聪拥有该地址的可能性,我们认为这是不应该被忽视的。”
此外,关于未来的产品规划,Whale Alert表示,目前正在致力于一个新的和改进的Whale Alert分析系统,这是一个巨大的项目,将在本周推出一个新网站和建立在此基础上的分析系统。(The Block)[2020/6/18]
同时,攻击者设置了一封新电子邮件,并向WhatsApp支持人员发送了“丢失/被盗的电话请求”,以停用您的帐户。
WhatsApp支持人员并不会真正验证该电子邮件地址是否与您的帐户相关联,因此会将您锁定在该应用程序之外。
此后,攻击者必须重复12小时的周期两次。
在这三个周期的最后,您和攻击者都将看到“-1秒后重试。”消息,同时尝试通过您的号码登录。
现在,您必须联系WhatsApp支持以恢复此帐户。
整个繁琐的操作听起来很麻烦,就像攻击者无法进行太多工作一样,只是将您拒之门外。这种方式不会提取任何数据或金钱。
但是令人担忧的是,WhatsApp支持中没有机制要求您验证自己是否是帐户所有者。另外,即使您设置了两因素身份验证,此方法也可以成功将您锁定。
WhatsApp在一份声明中说:“提供带有两步验证的电子邮件地址有助于我们的客户服务团队在遇到这种不太可能的问题时为人们提供帮助。”
为此,请转到“帐户”>“两步验证”,然后输入安全PIN后,您可以提供一个电子邮件ID进行恢复。此电子邮件ID也将帮助WhatsApp验证您的请求。但是,如果您被锁定,则可能仍必须通过电子邮件发送WhatsApp支持。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。