利用Whatsapp Web服务劫持Whatsapp账户

一、前言

通过实现所有用户间的E2E加密，Whatsapp已经改变了它的形象，从一个令人震惊的安全的通信应用程序到被许多人尊重的应用程序的转变。

二、Whatsapp简介

Whatsapp帐号基于手机号码。这意味着手机号码就是你的用户名，它也被用来认证。尽管从隐私的角度看这不是完美的，让用户不必再记住另一个密码，他们可能会被重复使用，甚至更糟，通过钓鱼攻击泄漏。

登陆过程的简略描述：

当每次用户启动应用后用户不得不输入他们的手机号。一个验证令牌通过SMS或者电话发送到这个号码。在验证码输入到这个应用后，认证令牌保存在设备中，用户成功登录。

当用户在新设备登录时，需要重复上述过程，并且老设备的授权被取消。Whatsapp不会在他们的服务器上保存老