文章总结： GenDigital披露GhostPairing攻击，利用WhatsApp设备关联功能诱导用户主动授权。攻击者伪造页面骗取配对码，获得后台长期数据访问权限且不打断用户使用。该攻击隐蔽性高并利用社交链扩散，警示需警惕利用快速配对设计的社会工程风险。 综合评分： 86 文章分类： 社会工程学,威胁情报,漏洞分析,数据泄露

“幽灵配对”：一种绕过破解的新型WhatsApp账号入侵手段

原创

网空闲话

网空闲话plus

2025年12月18日 07:25 北京

2025年12月15日，安全公司Gen的研究人员披露了一种全新的WhatsApp账号滥用手段，并将其命名为“GhostPairing（幽灵配对）”。*该攻击并不依赖密码窃取、短信拦截或SIM卡交换，而是通过滥用WhatsApp官方提供的“设备关联”功能，在用户主动配合的情况下，将攻击者的浏览器添加为受信任设备，从而获得对账号消息、媒体和联系人数据的持续访问权限。相关攻击活动最早在捷克共和国被观察到，并已表现出明显的可复制性和跨地区扩散潜力。与以往以“突破安全机制”为目标的账号劫持不同，GhostPairing所展现的，是一种利用产品设计本身完成入侵*的攻击思路转变。

从“破解账户”到“添加设备”：攻击目标的根本变化

传统 WhatsApp 账号攻击通常围绕验证码展开：攻击者试图通过钓鱼页面、短信拦截或 SIM 交换获取一次性代码，从而完成登录并排挤原有设备。这类攻击一旦成功，往往会导致用户被强制登出，异常行为明显。GhostPairing的“新”，首先体现在攻击目标的改变。攻击者并不试图夺取账号控制权，而是诱导账户所有者亲自批准一个新的关联设备。在WhatsApp的设计中，关联设备与主设备在权限上高度一致，一旦连接成功，攻击者即可像正常使用WhatsApp Web或桌面客户端一样访问账户内容。从系统角度看，这是一次合法授权；从安全结果看，却构成了长期入侵。这种“授权即妥协”的模式，使传统的防护逻辑难以奏效。

诱饵设计的日常化：社会工程的进一步进化

根据Gen的观察，该攻击最初在捷克语环境中出现。被入侵的账户会向联系人发送极为简短的消息，通常附带一张图片和一个链接，例如“我刚找到你的照片”。这些消息语气随意，没有异常格式，也不存在陌生号码。链接在WhatsApp中显示为类似 Facebook内容的预览，点击后进入一个使用Facebook标志、配色和极简布局的页面。页面并不要求输入密码，而是提示用户在查看内容前进行“验证”。研究人员明确指出，这些网站与Facebook 毫无关联，其真正作用是作为受害者与 WhatsApp 合法设备关联基础设施之间的中介。攻击并非伪造WhatsApp，而是引导用户在错误的上下文中使用真实功能。

数字配对码成为主路径：为什么它比二维码更危险

WhatsApp提供两种主要的设备关联方式：扫描二维码，或通过电话号码和数字配对码进行连接。理论上，两者都可能被滥用。但在实际攻击活动中，研究人员发现攻击者更频繁地使用数字配对码流程。原因并非技术限制，而是可用性考量。二维码方式通常需要第二块屏幕或额外设备，在单一手机环境中操作别扭；而数字码流程可以在同一设备上完成，并且外观和体验与常见的双重验证极为相似。攻击流程中，受害者在虚假页面输入手机号后，页面会将该号码提交至WhatsApp的合法设备关联接口，触发配对码生成。攻击者获取该代码后，将其显示给受害者，并提示其在 WhatsApp应用中输入。从用户视角看，这只是一次例行确认；从WhatsApp的角度看，账户所有者已经使用正确代码批准了一个新设备的连接。

“幽灵”的本质：隐蔽、持久且不打断使用

GhostPairing最具威胁性的特征，在于其高度隐蔽性。攻击完成后，受害者的手机不会被登出，WhatsApp仍可正常使用。攻击者获得的，是一个在后台运行的、完全合法的关联会话。除非用户主动进入“设置→已连接的设备”，否则往往不会意识到额外设备的存在。研究人员指出，这类关联会话并不会自动失效，攻击者可能长期保持访问权限。在此期间，攻击者可以读取已同步的历史对话、实时接收新消息、下载媒体文件，并收集联系人之间共享的敏感信息。这些数据随后可能被用于诈骗、身份冒用，甚至更复杂的欺诈场景。

信任链传播：攻击为何能快速扩散

GhostPairing并不依赖大规模垃圾信息投放，而是利用真实的社交关系传播。一旦攻击者控制某个账户，便可直接向该账户的联系人和群聊发送同样的诱饵信息。收件人看到的是熟人的头像和对话历史，加之消息简短、缺乏明显异常，警惕性大幅降低。部分用户点击链接并完成配对流程后，新的账户再次被利用，攻击呈现出滚雪球式扩散。

可复用工具包迹象：并非一次性攻击

从域名结构、页面布局和可快速替换的基础设施来看，研究人员认为 GhostPairing更像是一种可商品化的攻击工具包。不同域名采用相似模板，仅更换名称、语言或文本内容即可重新部署。这意味着该手法具备跨地区复制能力，也解释了其并不依赖特定语言或文化背景。

超越WhatsApp的警示意义

尽管此次披露的案例集中于WhatsApp，但研究人员强调，GhostPairing揭示的是一种更普遍的风险模式：当一个平台允许通过二维码或代码快速配对新设备、且关联后会话长期存在、用户感知度较低时，就为社会工程攻击留下了空间。在这一意义上，“幽灵配对”并非WhatsApp的孤例，而是一种值得整个数字服务生态警惕的设计警示。

结论

GhostPairing的出现，标志着账号攻击逻辑的一次重要转向。攻击者不再试图突破加密或绕过验证，而是利用产品设计本身，在恰当的时机诱使用户完成授权。这种攻击方式技术门槛不高，却极具隐蔽性和持续性。它清楚地表明，在高度依赖快速配对和“在手机上确认”的数字环境中，一次看似无害的操作，可能足以在后台创建一个长期存在的“幽灵设备”。

参考资源

1、https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack?

2、https://www.securitylab.ru/news/567291.php

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话《“幽灵配对”：一种绕过破解的新型WhatsApp账号入侵手段》