尽管这样做的结果更令人恼火而不是危险，但WhatsApp双因素身份验证系统的一个新漏洞似乎确实让攻击者相对容易地将您锁定在帐户之外不同的时间。而一个糟糕的演员需要做的就是知道你和WhatsApp账户相关联的电话号码。就这样。攻击本身很容易执行。正如安卓警察所描述的：

这个新发现的缺陷使用了两个独立的向量。攻击者在新设备上安装WhatsApp并输入您的号码以激活聊天服务。他们无法验证它，因为当然，双因素身份验证系统将向您的**发送登录提示。多次重复尝试失败后，您的登录被锁定12小时。

棘手的部分就在这里：当你的帐户被锁定时，攻击者会从他们的电子邮件地址向WhatsApp发送一条支持消息，声称他们（你的）**已经丢失或被盗，需要停用与你的号码相关的帐户。WhatsApp通过回复邮件“验证”了这一点，并在没有任何输入的情况下暂停了您的帐户。攻击者可以连续多次重复此过程，在您的帐户上创建半永久性锁。

这里的一线希望是，这些攻击实际上不能被用来入侵你的帐户，而只是让你的帐户在一段时间内无法使用（如果攻击者真的是专用的，则可能是永久性的）。

WhatsApp的代表告诉福布斯，保护自己免受此类攻击的最简单方法是确保你已经将电子邮件地址与你的两步验证过程关联起来，这样攻击者就无法欺骗你的身份。你现在可以通过打开WhatsApp，加载它的设置，点击两步验证，输入你的电子邮件地址（或者检查以确保你已经这样做了）。

这本身不会阻止攻击，但如果你发现自己处于“阻止验证我的帐户”反馈循环中，WhatsApp的客服团队会更容易帮助你，如果攻击者伸手去攻击你的话，将会发生什么，声称你的帐户被黑客攻击了，而WhatsApp应该停用它(然后，您将“接收”代码以还原错误的取消注册，只有由于之前的技巧，您无法输入它们，这将暂时禁止您输入太多不正确的2FA代码。）

正如《福布斯》杂志的扎克·多夫曼所写：

这并不复杂，应该很容易解决。WhatsApp可以确保注册了2FA的设备上的应用程序可以防止这个问题，使用2FA作为断路器。更简单的说，当多设备访问最终出现时，WhatsApp可以使用可信设备概念，使一个经过验证的应用程序能够验证另一个应用程序。这是一个更好的系统，可以关闭此漏洞。

我希望WhatsApp正在研究这个问题，并将修补2fA验证过程（或帐户禁用过程），以使这些类型的drive-by-style攻击无效。同时，如果可能的话，也许可以考虑完全使用不同的WhatsApp号码，以尽量减少被锁在门外的风险。