首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

新的WhatsApp账户管理漏洞会让用户无限期地被拒绝登录

2021-04-13 20:42 · 稿源:cnbeta

WhatsApp目前正面临着可能存在的最严重的漏洞之一。据安全研究人员称,WhatsApp中存在一个安全问题,可能会导致更多用户被动地永远离开WhatsApp。恶意攻击者可以轻易地利用这个漏洞,将受害者的WhatsApp账户锁定,并且时间还是无限期的。

根据研究人员Luis Márquez Carpintero和Ernesto Canales Pereña谈到,攻击者甚至不需要任何特定的软件或培训,他们可以利用这个问题,而这一切只需要找到受害人的电话号码就可以。

那么,这一漏洞是如何被利用的呢?每当你使用新设备登录时,WhatsApp需要用户进行双因素验证。为此,用户的手机会得到一个六位数的代码进行验证,如果多次输入错误的代码,账户会自动暂停12小时。

攻击者可以利用这种验证方式,在新设备上安装WhatsApp,输入指定手机号码,并反复输入错误的验证码。这本来算不上漏洞,因为这将阻止受害者在接下来的12小时内登录新设备,但不会影响当前正在使用的设备上安装的WhatsApp。

1.jpg

为了防止在新设备上登录,攻击者只需要重复三次这个漏洞,在第三次的时候,应用暂停计时器就会中断,并显示-1秒。一旦这个漏洞出现,WhatsApp会永久不会让指定账户在新设备上登录。至于当前的设备,WhatsApp依然继续正常工作。然而,事情还没有结束。

2.jpg

最后的攻击会破坏你当前的安装,用户将被永久锁定在账户登录系统之外。为此,攻击者需要在电子邮件中向WhatsApp发送电子邮件,要求该服务停用该电话号码。WhatsApp会发送一个自动响应,要求攻击者确认号码,一旦确认,WhatsApp将在不知情的情况下自动冻结账户。

3.jpg

这意味着当前安装的WhatsAppbanben 立即停止工作,设备上将看到一个通知,上面写着 "您的电话号码不再在此手机上注册WhatsApp。这可能是因为您在其他手机上注册了它。如果您没有这样做,请验证您的电话号码以重新登录到您的账户。"  之后,当试图验证号码时,受害者会看到之前提到的-1秒的暂停计时器,将根本无法重新登录。

由于这种攻击完全不需要专业的设备或技术知识,这就更加危险了,公司需要在事态失控之前立即解决它。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • Spotify在美国推出车载娱乐系统 Car Thing

    Spotify今天上午正式宣布在美国限量发售其首款硬件设备,名字很奇怪,叫Car Thing,针对Spotify Premium用户。这款新设备Spotify竟然免费提供(包括免运费)。与2019年首次开始测试的版本相比,有了很大的进化。这款升级型号有一个触摸屏,一个大的,可抓握的旋钮,用于导航,语音控制功能,以及顶部的四个预设按钮,用于喜爱的音乐,播客或播放列表,类似于移动设备上的Spotify。该公司解释说,Car Thing将满足那些希望获得更无缝

  • Spotify 推出首款硬件设备:车载娱乐系统 Car Thing

    据 Tech Crunch 报道,Spotify 今天在美国限量推出其首款硬件设备 Car Thing,将免费提供给部分 Spotify Premium 用户。

  • 消息称LG-Magna合资公司「非常接近」获得苹果Apple Car电动汽车项目

    LG电子与加拿大汽车供应商麦格纳国际(Magna International)的合资企业 「LG 麦格纳电子动力总成』(LG Magna e-Powertrain)「非常接近」与苹果签署合同,生产其早期电动汽车车型。

  • 自 Microsoft 披露四个零日漏洞,全球组织遭受的漏洞攻击增加两倍

    继当前影响 Microsoft Exchange Server 的四个零日漏洞被披露之后,Check Point Research (CPR) 公布了其对这些漏洞利用尝试的最新全球跟踪观察结果。 ? CPR 观察到数百次针对全球组织的漏洞利用尝试。 ? 仅在过去的72 小时内,CPR 观察到的漏洞利用尝试次数便增加了5 倍以上。 ? 遭受攻击最多的国家是美国 (21%),其次是荷兰 (12%) 和土耳其 (12%)。 ? 首当其冲的行业部门是政府/军事部门 (27%),其次是制造业 (22%) 和软件厂商

  • Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

    一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞,当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告,但遗憾的是,作为 Source Engine 和《CS:Go》、《Team Fortress 2》等游戏的制造商,该公司的修复速度实在太慢。视频截图(来自:Secret Club / YouTube)Motherboard 报道称,黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请,实现对受害者计算机的控制。安全研究人员 Flori

  • [图]上亿台设备受影响 高危漏洞NAME:WRECK曝光

    通过和 JSOF Research 合作,网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞--NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈(FreeBSD,Nucleus NET,IPnet 和 NetX)的 9 个漏洞组合,对域名系统(DNS)实现有关,会导致拒绝服务(DoS)或远程代码执行(RCE),允许攻击者控制或者宕机目标设备。这些漏洞影响的TCP/IP堆栈包括但不限于:FreeBSD(影响版本:12.1)-BSD系列中最流行的操作系统之一。IPnet(

  • 安全专家发现基于Chromium的浏览器漏洞 可绕过沙盒远程执行

    针对 Chrome、Edge 以及其他基于 Chromium 的浏览器,一位安全研究人员在 Twitter 上分享了一个概念验证(PoC)漏洞。虽然这个零日漏洞已经被公开披露,但在最新版的 Chrome 和 Edge 中并未被修复。安全研究人员 Rajvardhan Agarwal 在基于 Chromium 浏览器中的 V8 JavaScript 引擎中发现了一个远程代码执行漏洞,并通过个人 Twitter 帐号进行了公布。虽然该漏洞已经在最新版本的 V8 JavaScript 引擎中得到修复,但谷歌何时将其添?

  • 本月补丁星期二活动共计修复108处漏洞 其中19处为关键漏洞

    对于普通用户来说,本月补丁星期二活动发布的 Windows 10 累积更新并没有什么新的内容,主要是对系统安全性进行优化。不过对于 Windows 和 Microsoft Exchange 管理员来说,最近几个月一直非常忙碌,4 月累积更新修复了 5 个零日漏洞和更多的 Exchange 漏洞。在今天的更新中,微软共计修复了 108 处漏洞,其中 19 个标记为“关键漏洞”(Critial),89 个标记为“重要漏洞”(Important)。而且这些漏洞并不包含本月初发布的 6 个

  • Facebook的Pages漏洞让全球政客们可以伪造民众支持率以攻击对手

    世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。"Faceboo

  • 探真科技携手HARBOR,镜像漏洞从此无所遁形

    随着企业上云的步伐逐渐加快,Docker作为当前云原生领域中最热门的开源容器引擎,其热度也是一路走高。虽然官方提供了公共的镜像仓库,但是从安全和效率等角度考虑,部署企业私有环境内的Registry也是非常必要的。 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,可通过策略与基于角色的访问控制实现工件保护,扫描镜像内容使其免受漏洞侵害,最后对镜像进行可信签名。为企业用户提供了包括了RBAC权限管理、LDAP、审

  • 深信服SRC发布全新奖励机制,单个漏洞最高奖金税后达50万

    近日,深信服正式发布全新的《深信服安全应急响应中心漏洞审核标准和奖金奖励机制》,从单个漏洞基础奖励升级、荣誉贡献榜激励升级、开放交流和增设额外激励等三个层面对安全投入进行加码,值得一提的是,升级版本单个漏洞奖金税后最高达 50 万。单个漏洞基础奖励升级。深信服SRC全新奖励机制将资产等级划分更细化、更合理,同时奖金也大幅增加。升级前,单个常规严重漏洞最高奖励为 1 万元,升级后单个常规严重漏洞奖励高达 10 万

  • GitLab 远程代码执行漏洞通告

    2021年03月18日,360CERT监测发现GitLab官方发布了GitLab 代码执行的风险通告,漏洞等级:严重,漏洞评分:9.9。

  • 明星隐私频遭泄露,神指宝盒堵住病历资料漏洞

    吴亦凡的就医检查报告在网络流传,乐嘉的急诊手术单被网友围观,林俊杰使用过的吊水针头被粉丝售卖......明星真的不需要隐私吗?我国目前暂时未出台涉及个人隐私的相关法律,但国家对公民信息保护却很重视,《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条规定:向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定?

  • 苹果发布 iOS 14.4.2 系统更新,修复安全漏洞

    在更新说明页面中,苹果解释了这次的漏洞源自于Webkit,如果遇上特制的恶意网站时,可能会允许跨站代码的执行。由于苹果已经有收到至少一起这个漏洞被利用的实例,因建议立即下载更新来保护安全。

  • 涉嫌诈骗!两人利用抵用券漏洞获利770万被抓

    近日,在上海,两人利用抵用券漏洞获利770万的事情引发关注。商家报案称,他们在定期对公司所运营的APP后台进行梳理时,发现2020年11月至12月期间,有约1600笔利用公司发售的抵用券进行购买的记录存在异常,经后台比对,发现有2个客户反复使用同一抵用券进行刷单。

  • 白帽黑客成功找到Zoom的远程代码执行漏洞 获得20万美元奖励

    据外媒报道,两位荷兰白帽安全专家参加了一年一度的电脑黑客大赛Pwn2Own,成功找到了Zoom的远程代码执行(RCE)漏洞,并且获得了20万美元的奖励。Pwn2Own是 "零日倡议 "组织的一项高规格活动,挑战黑客在常用软件和移动设备中发现新的严重漏洞。举办该活动的目的是为了证明流行的软件和设备都有缺陷和漏洞,并为漏洞的地下交易提供一个平衡点。"目标 "自愿提供自己的软件和设备,并对攻击成功者给予奖励。粉丝们会看到一场黑客奇观

  • 谷歌曝光7个黑客利用的零日漏洞:iOS、Android和Windows无一幸免

    随着人们掌握的安全漏洞知识越来越多,随之而来的则是越来越多的漏洞被发现和利用。据外媒报道,近日,谷歌的互联网安全团队“Project Zero”披露了 2020 年 7 个零日漏洞,黑客利用这些漏洞入侵了iOS、Android和Windows设备。

  • 软件加密库OpenSSL出现高危漏洞,容易遭黑客攻击致服务器崩溃

    日前,OpenSSL 项目修复了一个高危漏洞,该漏洞允许黑客发送特制恶意请求完全关闭大量的服务器。OpenSSL 是最广泛使用的软件加密库,提供了经过时间考验的靠谱的加密功能。

  • 因发现Zoom中高危零日漏洞 两位安全专家获20万美元赏金

    在年度黑客大会 Pwn2Own 中,两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行(RCE)漏洞,获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛,主要是让黑客在限定时间内对常用软件、移动设备发起挑战。举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞,并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备,并对

  • 真假Gucci腰带之谜!Gucci称唯品会不是授权门店

    近日,因为一条Gucci腰带,唯品会与得物争锋相对,陆续登上热搜。起因是有消费者在唯品会花2549元购买了一条Gucci腰带,但在得物APP却被鉴定为假货。

  • 热门标签