一家名为 Traced的网络安全公司发现了几个 iOS 和 Android 应用程序和网络服务,这些应用程序和网络服务允许网络跟踪者窥探活跃在 WhatsApp 上的用户。
即使未经用户同意,第三方也可以使用这些服务来监控用户的状态。
据 Statista 称,WhatsApp 是世界上最受欢迎的消息传递应用程序,每月活跃用户超过 20 亿。在英国,它存在于 58% 的智能手机上,而美国的 WhatsApp 用户数量预计到 2023 年将达到 8600 万。
对于 WhatsApp 的 20 亿用户来说,发现一个令人震惊的安全风险是一个令人讨厌的新惊喜。
“即使是双重身份验证也不会阻止这一点”。
当有人在 WhatsApp 上上线(即他们打开应用程序或将其带到前台)时,指示器会发生变化,将他们的状态设置为“在线”。此指示器是公共信息,任何人都可以使用它来构建监视此在线状态指示器的服务。
仅使用您的电话号码,远程攻击者就可以轻松地停用您手机上的 WhatsApp,然后阻止您重新登录。即使是双重身份验证也无法阻止这一点。
“你可以输入任何手机号码,如果该人使用 WhatsApp,状态跟踪器将提供该人打开 WhatsApp 的确切日期和时间,”该公司在一篇博文中解释道。
Traced 透露,虽然这些应用程序通常被推销为让用户知道他们的联系人何时上线的一种方式,但它经常被网络犯罪分子滥用。
与其他功能不同,WhatsApp 没有提供一种方法来禁用自动显示用户是否在线的功能,从而使其容易被网络跟踪者利用。
还发现一些 WhatsApp 在线状态跟踪器允许用户输入两个人的电话号码。这有助于推测两个用户是否在特定时间在应用程序上互相聊天。
“我们提供了一个设置,允许人们选择谁可以查看用户在 WhatsApp 中‘最后一次出现’的时间。为了帮助防止滥用,我们定期与应用商店合作,寻求删除试图违反我们服务条款的应用, ”WhatsApp 发言人谈到这个问题时说。
“我们已禁止与此类网站关联的 WhatsApp 帐户,要求 Google 从 Play 商店中删除此类应用,并酌情采取法律行动。
自动化 WhatsApp 的信息抓取功能违反了我们的服务条款,我们将继续采取行动保护用户的隐私并帮助防止滥用行为。”
WhatsApp 此前曾在本周早些时候遭到抨击,此前该公司披露了一个安全漏洞允许攻击者远程暂停用户的账户。
想要跟上 24/7 的新闻周期吗?
想知道当天最重要的故事吗?
需要您可以信任的消息吗?