發(fā)現(xiàn)了一個新的WhatsApp漏洞，該漏洞使任何人都可以通過兩步驗證嘗試來暫停您的帳戶。根據(jù)《福布斯》的一份報告，安全研究人員路易斯·馬克斯·卡彭特羅和埃內(nèi)斯托·卡納雷斯·佩雷尼亞已經(jīng)發(fā)現(xiàn)了一個漏洞，攻擊者只要擁有您的電話號碼，就可以暫停您的帳戶。攻擊者最初會請求并輸入不正確的由多個兩個因素組成的SMS代碼，這將使WhatsApp登錄在其設(shè)備上的鎖定時間長達12個小時。之后，作案者會注冊一個新的電子郵件地址，并向WhatsApp支持團隊發(fā)送電子郵件，要求以丟失或被盜的帳戶為原因停用該號碼。在不驗證真實性的情況下，WhatsApp會自動禁用該號碼，您會發(fā)現(xiàn)自己已被鎖定，無需您提供任何輸入。

如何保護自己免受WhatsApp漏洞的侵害

雖然您可以在12小時的窗口期后取回WhatsApp帳戶，但是攻擊者可以嘗試通過重復(fù)兩次以上的代碼請求來永久性阻止您，然后等待第三次向公司發(fā)送電子郵件。一旦他們這樣做，系統(tǒng)將要求您等待“ -1秒”，并且別無選擇，只能詢問Whatsapp的幫助來恢復(fù)您的帳戶。在向《福布斯》發(fā)表的一份聲明中，WhatsApp并未提及該漏洞的解決方案，但建議用戶提供具有兩因素身份驗證的電子郵件地址，以幫助管理人員在遇到此問題時提供支持。

考慮到攻擊者通常對劫持帳戶感興趣而不是禁用它們，您可能會知道在第一批SMS代碼請求期間出了點問題。如果您發(fā)現(xiàn)任何此類可疑活動，可以立即獲得WhatsApp支持。這引起了對WhatsApp帳戶安全性的擔(dān)憂，但從技術(shù)上講，它可以通過依靠受信任的設(shè)備而不是電話號碼來消除此漏洞，并手動驗證停用請求以誘使可疑活動。