WhatsApp瑕疵可讓使用者停用任何人的帳號

根據Forbes的報導，兩名研究人員Luis Márquez Carpintero與Ernesto Canales Pereña上周末發現了WhatsApp有個瑕疵，可以讓使用者停用WhatsApp用戶的帳號。

這個瑕疵很簡單，問題出在WhatsApp的雙因素認證機制，當一名使用者在新裝置上安裝WhatsApp時，系統會要求使用者輸入電話號碼來啟用該服務，同時傳送簡訊至手機來確認使用者身分。假設這名使用者是惡意的，輸入的是別人的電話號碼，儘管取不到簡訊，卻持續嘗試輸入錯誤的認證碼，之後WhatsApp便會拒絕產生認證碼，時間長達12小時。

其實這時受害者的WhatsApp並不會受到干擾，仍可正常使用，只是無法進行雙因素認證。但若惡意用戶寄出電子郵件予WhatsApp，告知手機被竊或遺失，必須停用原有的帳號，那麼該帳號就會直接被停用，還會在30天之後被移除。

就算受害者此時自WhatsApp程式收到停用通知，企圖取回帳號，但12小時之內已無法再用自己的電話號碼產生認證碼。

惡意人士只要重覆上述手法就能摧毀受害者的WhatsApp使用經驗。

Forbes引用ESET安全專家Jake Moore的看法指出，這是一個令人擔憂的駭入手法，因為WhatsApp並沒有隱藏模式，任何人只要輸入電話號碼就能確認該帳號是否存在。而WhatsApp並未說是否要修補此一問題，僅說用戶在設定雙因素認證時，提供包括電子郵件在內的資訊，將可協助客服解決此一不太能遇見的問題。