提防WhatsApp帳戶遭人無故停用
發佈日期: 2021年04月19日
5120 觀看次數
最近一名海外保安研究人員示範了利用WhatsApp的SMS驗證和帳戶停用程序的一個保安漏洞,攻擊者能在WhatsApp用戶的不知情下停用其帳戶,即使採用了雙步驟驗證也無法阻止有關行動 [1]。由於WhatsApp是香港最被廣泛使用的即時通訊軟件之一,因此潛在影響相當大。
根據示範,攻擊者會先使用受害人的電話號碼來設立WhatsApp帳戶,當WhatsApp要求輸入透過SMS發送給受害人手機的驗證碼時,攻擊者會重複輸入錯誤的驗證碼,觸發WhatsApp的保安機制來禁止繼續輸入。然後,攻擊者會冒充受害人聯絡WhatsApp的客戶服務部,訛稱手機被盜,要求停用帳戶。
HKCERT建議WhatsApp用戶採取以下措施保護帳戶:
- 啟用雙步驟驗證,並填寫電子郵件地址 [2] ;
- 切勿將SMS驗證碼轉發或分享給任何人。若沒有要求接收驗證碼,應立即向WhatsApp報告有關情況;以及
- 設置手機的屏幕鎖定功能,防止陌生人使用。
由於WhatsApp是使用手機號碼來驗證用戶身份,因此若遺失了手機,你應該:
- 立即向電訊商報失;
- 拿到新SIM卡後,重新以電話號碼登錄WhatsApp,這會強制登出你的帳戶內的所有使用者 [3] ;以及
- 使用裝置遺失追蹤功能(例如Apple的Find My iPhone 或 Google 的 Find My Device)鎖定裝置或清除資料,以防止數據外洩。
參考資料:
[1]https://gadgets.ndtv.com/apps/news/whatsapp-suspend-account-using-phone-number-vulnerability-flaw-2412359
[2]https://faq.whatsapp.com/general/verification/about-two-step-verification?lang=zh_tw
[3]https://faq.whatsapp.com/general/account-and-profile/stolen-accounts/?lang=zh_tw
相關標籤
分享至