网络安全研究人员近日披露,一种利用 WhatsApp 正常功能进行的全新攻击手法,可能让骇客在不需要密码的情况下,实时监控用户对话,甚至渗透企业员工的 WhatsApp 群组,引发隐私与资讯安全隐忧。
这项攻击被安全公司 Gen Digital(旗下拥有 Norton、Avast、Avira 与 AVG)研究人员命名为「GhostPairing」。该手法近期在捷克被发现,最大特点是无需盗取帐号密码或个人资料,仅透过社会工程手法即可得手。
研究人员指出,攻击流程相当简单。骇客会向目标发送一则 WhatsApp 讯息,内容伪装成可查看 Facebook 照片的连结。一旦用户点入,就会跳转到一个假页面,要求用户输入手机号码进行「身分验证」。
攻击者随后利用该号码,启动 WhatsApp 的「以手机号码连结装置」功能。WhatsApp 会产生一组 8 位数配对码,这组验证码会显示在受害者的 WhatsApp 上。若用户依提示输入验证码进行确认,实际上就等同于把骇客的浏览器装置加入为受信任设备。
一旦配对完成,攻击便告成功。研究人员警告,只要用户未察觉异常,骇客就能完整存取帐号,包括聊天内容、历史讯息,并能即时查看收发中的讯息。
Gen Digital 研究团队表示,这种攻击并非破解系统漏洞,而是完全在 WhatsApp 既有功能范围内进行,效果等同于用户自行在电脑上使用 WhatsApp Web。
更严重的是,骇客还能冒充受害者发送讯息,进一步向其联络人或群组扩散钓鱼连结,使攻击规模快速扩大。
尽管 WhatsApp 采用端对端加密(E2EE),理论上应无法被第三方窃听,但 GhostPairing 显示,只要透过社会工程诱骗用户授权装置连结,就能绕过加密防护。研究人员指出,相较之下,要求使用 QR Code 扫描配对的方式较不易被滥用,这也让只允许 QR 配对的 Signal 用户稍感安心。
针对防范方式,专家建议用户定期检查 WhatsApp 的「设定 > 已连结装置」,确认是否出现不明装置。一旦发现异常,应立即从主要手机装置移除。此外,开启「两步骤验证 PIN 码」也有助于降低风险,虽然无法阻止对话被读取,但可防止骇客更改主要帐号资料。
研究人员也提醒,企业面临的风险更高,因为许多员工习惯使用 WhatsApp 进行工作沟通,且相关群组往往未被纳入正式资安管理。建议企业假设这些群组确实存在,并加强员工教育,要求一旦收到可疑连结、陌生号码讯息或钓鱼内容,立即通报。
Gen Digital 强调,WhatsApp 表面看似私密安全,但其便利功能仍存在可被滥用的空间。值得注意的是,这并非 WhatsApp 近期唯一的安全争议。数周前,学界才揭露可推算出 WhatsApp 全球约 35 亿用户手机号码的重大缺陷;今年稍早,Meta 也修补了 WhatsApp Desktop 针对 Windows 用户的安全弱点。
研究人员最后指出,这类问题并非 WhatsApp 独有,近期也有骇客针对为美国高层政要打造的改版 Signal 通讯系统发动攻击,显示即时通讯平台的安全挑战仍在持续扩大。
