提防WhatsApp帳戶遭人無故停用

最近一名海外保安研究人員示範了利用WhatsApp的SMS驗證和帳戶停用程序的一個保安漏洞，攻擊者能在WhatsApp用戶的不知情下停用其帳戶，即使採用了雙步驟驗證也無法阻止有關行動 ^[1]。由於WhatsApp是香港最被廣泛使用的即時通訊軟件之一，因此潛在影響相當大。

根據示範，攻擊者會先使用受害人的電話號碼來設立WhatsApp帳戶，當WhatsApp要求輸入透過SMS發送給受害人手機的驗證碼時，攻擊者會重複輸入錯誤的驗證碼，觸發WhatsApp的保安機制來禁止繼續輸入。然後，攻擊者會冒充受害人聯絡WhatsApp的客戶服務部，訛稱手機被盜，要求停用帳戶。

HKCERT建議WhatsApp用戶採取以下措施保護帳戶：

1. 啟用雙步驟驗證，並填寫電子郵件地址 ^[2] ；
2. 切勿將SMS驗證碼轉發或分享給任何人。若沒有要求接收驗證碼，應立即向WhatsApp報告有關情況；以及
3. 設置手機的屏幕鎖定功能，防止陌生人使用。

由於WhatsApp是使用手機號碼來驗證用戶身份，因此若遺失了手機，你應該：

1. 立即向電訊商報失；
2. 拿到新SIM卡後，重新以電話號碼登錄WhatsApp，這會強制登出你的帳戶內的所有使用者 ^[3] ；以及
3. 使用裝置遺失追蹤功能(例如Apple的Find My iPhone 或 Google 的 Find My Device)鎖定裝置或清除資料，以防止數據外洩。

參考資料：
[1]https://gadgets.ndtv.com/apps/news/whatsapp-suspend-account-using-phone-number-vulnerability-flaw-2412359
[2]https://faq.whatsapp.com/general/verification/about-two-step-verification?lang=zh_tw
[3]https://faq.whatsapp.com/general/account-and-profile/stolen-accounts/?lang=zh_tw