WhatsApp Ghost Pairing：对已链接设备的静默滥用

Source: Dev.to

在之前的博客中，我们讨论了如何检测 WhatsApp 账户是否被入侵以及可以采用哪些防护措施来抵御常见的网络威胁。

今天，我将向你展示一种特定的攻击手段，它旨在在你不知情的情况下监视并窃听你的对话。这种技术被称为幽灵配对（Ghost Pairing）。

什么是幽灵配对？

幽灵配对是一种攻击向量，攻击者利用官方的已链接设备功能，悄悄将自己的设备链接到你的 WhatsApp 账户。其目的并非完全接管你的账户，而是让你继续正常使用，同时他们能够：

• 阅读你发送和接收的所有消息
• 访问你的照片、视频和文档
• 冒充你向你的联系人发送消息

幽灵配对的工作原理

WhatsApp 允许一个账户最多链接四个设备。幽灵配对利用了这一设计。该攻击不针对 WhatsApp 的加密或内部安全，而是针对用户本身，利用人类行为来获取未授权的访问权限。

物理访问

如果你把手机解锁后无人看管，攻击者可以：

• 在不需要任何验证码短信的情况下，将你的 WhatsApp 账户链接到他们的设备
• 保持登录状态（你不会被强制下线）
• 直接忽略 WhatsApp 为新链接设备发送的推送通知

远程访问

在这种情况下，攻击者在不实际接触你的手机的前提下获取访问权限，通常通过社会工程手段实现：

• 说服你分享通过短信收到的 WhatsApp 验证码（切勿分享此验证码）。
• 冒充你的某位联系人，诱导你提供验证码或点击恶意链接。
• 引导你访问看似无害的网站，该网站要求你验证手机以查看内容，同时暗中收集验证码。

为什么它危险

幽灵配对尤其危险，因为：

• 没有明显的接管痕迹——你的账户仍然可以正常使用。
• 实时窃听——消息会即时同步到攻击者的设备。
• 持久访问——链接的设备会一直保持活跃，直至你手动移除。
• 完美用于诈骗——攻击者可以冒充你与联系人交流。
• 技能门槛低——攻击者只需利用 WhatsApp 官方功能即可。

幽灵配对的常见迹象

请留意以下警示信号：

• 在 设置 → 已链接设备 中出现你不认识的设备。
• 消息显示为“已读”，但实际上你并未打开。
• 联系人收到你不记得发送的消息。
• 最后在线 时间出现异常活动。

如何保护自己

只要遵循基本的安全实践，幽灵配对很容易防范：

• 给手机上锁（PIN、指纹、生物识别、自动锁定），切勿让它无人看管。
• 定期检查 已链接设备，移除任何不熟悉的设备。
• 启用新链接设备的通知。
• 为你的 WhatsApp 账户启用两步验证（2FA）。