WhatsApp甚至比Telegram更为强大,它是一种即时通讯平台,每天都有数百万用户使用,并具有良好的安全机制。即使这样,仍有一些令人担忧的可能性。
从帐户恢复机制(重置用户密码的方法)中,有恶意的人可能正在等待他们使用此路由。特别是WhatsApp在语音邮件中留下的消息。
当心WhatsApp语音信箱
该案件由西班牙黑客Chema Alonso出版的Un informatico en ellateral del mal博客揭露,他在其中详述并警告了一些可用于获取证书的方法。
在这些利用方法中,有一些很简单,是借助WhatsApp上的语音邮件进行的。更具体地说,如果用户不应答身份验证呼叫,则平台留下的音频消息。
值得记住的是,这是我们可以用来重新获得对帐户的访问权限或在新的移动设备上进行身份验证的方法之一。尽管它不是认证的第一种手段,但它是用户可用的手段之一。
简而言之,当在新手机上安装WhatsApp时,如果我们已经在该服务上拥有帐户,则必须进行身份验证。现在,我们可以通过验证短信到达我们设备的代码来完成此操作。此外,当接到要求指定代码的自动电话时,我们也可以执行此操作-WhatsApp的辅助功能选项之一。
碰巧在未接听身份验证呼叫的情况下,WhatsApp将在语音邮件中留下与身份验证代码相同的指示。这就是允许黑客窃取帐户的漏洞所在。
窃取WhatsApp帐户的过程
输入受害者的电话号码以验证该帐户。带有验证码的SMS将发送到手机。
如果1分钟内未使用该密码,请选择该选项以通过电话验证该帐户。
如果受害者没有接听验证电话,则WhatsApp平台将留下带有身份验证代码的语音消息-语音邮件。
危险在于不法之徒无需物理上使用我们的移动设备即可访问此语音消息的可能性,这就是上述出版物所强调的情况。请注意,为了访问特定电话号码的语音信箱,需要使用4位数字的PIN码。此代码通常相对简单。
即使他们一开始并不猜测,这种类型的攻击也允许黑客反复尝试4位代码的不同组合。最常用的密码列表证明了猜测四位数是多么简单。
事实证明,即使攻击者没有手机就可以窃取我们的帐户,但如果攻击者可以物理访问我们的移动设备,则该过程将变得非常简单。只需知道我们的电话号码即可接听电话-无需解锁智能手机即可接听电话。
电报也可能遭受相同的攻击
电报也可以通过类似的程序进行攻击,但有一些细微差别。同样,我们将能够在两种帐户恢复路径之间进行选择,即带有身份验证代码的SMS或电话。
区别在于,如果未接听验证电话,Telegram不会在用户的语音邮件中留下消息。因此,如果黑客(实际上)没有拥有受害者的智能手机,则黑客将无法访问该帐户。
鉴于以上所述,我们可以将Telegram视为抵御此类攻击的最安全平台。
该出版物还指出,有许多致力于SAPPO攻击的组织:Spear APP来密封OAuth令牌。一种旨在精确探索身份验证和帐户恢复方法的方法。可能会影响通过两因素身份验证方法(2FA)保护的帐户,尤其是受保护程度较低的帐户(1FA)的某些内容。
