Atakujący znaleźli sposób na zablokowanie WhatsApp

w jaki sposób informuje Forbes, napastnicy wymyślili nowy sposób na pogorszenie życia użytkowników WhatsApp. Wszystko, co musisz zrobić, to znać swój numer telefonu - a nawet uwierzytelnianie dwuskładnikowe nie zaszkodzi.

Tak to działa. Atakujący instaluje WhatsApp na swoim smartfonie i wchodzi Twój numer. W celu autoryzacji jego posłaniec prosi o kod - do którego dochodzi Twój telefon, ale ignorujesz go, ponieważ nie prosiłeś o to i uważasz, że to pomyłka. Problem w tym, że zdobycie kodu nie było celem.

Atakujący w kółko wprowadza losowe kody, nawet nie próbując odgadnąć właściwego. Po kilku nieudanych próbach system blokuje wysyłanie nowych kodów na 12 godzin. W ten sposób Twój komunikator działa poprawnie, ale wysyłanie kodów autoryzacyjnych jest zawieszone. Teoretycznie nie będzie to problemem, jeśli nie będziesz musiał ponownie przechodzić weryfikacji w tym czasie.

Ale potem ten sam napastnik tworzy nowy e-mail i pisze do pomocy technicznej, że jego numer telefonu [twój numer] został skradziony i prosi o dezaktywację powiązanego konta. Pomoc techniczna w żaden sposób nie sprawdza, czy numer należy do niego, a dezaktywuje konto.

I dopiero na tym etapie użytkownik zaczyna mieć problemy: pojawia się komunikat, że numer telefonu nie jest zarejestrowany w WhatsApp. Możesz wysłać kod weryfikacyjny, aby spróbować zalogować się na swoje konto. Ale system ostrzega, że ​​wykonałeś zbyt wiele nieudanych prób wprowadzenia danych i musisz poczekać 12 godzin. Wpisywanie otrzymanych wcześniej kodów nie działa.

Jeśli właśnie padłeś ofiarą kiepskiego żartu, po 12 godzinach możesz odzyskać dostęp. Jednak osoba atakująca może nie wysłać żądania do pomocy technicznej, ale zamiast tego powtórzyć proces żądania kodów po upływie czasu. Za trzecim razem (czyli po 24 godzinach od pierwszego ataku) system się psuje: licznik czasu wyświetla nie 12 godzin, ale -1 sekundę - i to na obu smartfonach. Nie da się tego naprawić.

Jeśli następnie wyślesz zgłoszenie do pomocy technicznej, konto zostanie trwale dezaktywowane, ponieważ licznik czasu jest zepsuty. To jest najgorszy możliwy rozwój wydarzeń.

Jak to jest możliwe?

Powód jest prosty: w rzeczywistości komunikator jest powiązany tylko z numerem telefonu i nie porównuje systemu operacyjnego z numerem identyfikacyjnym urządzenia. Ponadto sami użytkownicy nie mają żadnej ochrony przed osobami postronnymi: jeśli wpiszesz czyjś numer w komunikatorze i konto jest z nim powiązane, zostanie on wyświetlony. Nie możesz ograniczyć widoczności swojego konta.

Dlatego nie jest trudno dowiedzieć się, kto jest zarejestrowany w WhatsApp. Jednocześnie numery telefonów użytkowników regularnie pojawiają się w wyciekach - tak jak ostatnio śliwka Bazy danych Facebooka.

Nie jest trudno naprawić oba problemy: wystarczy dać użytkownikom możliwość ukrycia konta przed wyszukiwaniem i dodawania sposób identyfikacji przy wejściu z nowego urządzenia: np. potwierdzenie przez już autoryzowane urządzenie w systemie urządzenie.

A jeśli spróbują zablokować konto?

Przedstawiciele WhatsApp powiedzieli, że ofiary takich ataków powinny skontaktować się z pomocą techniczną: takie działania są sprzeczne z zasadami korzystania z platformy. Warto to zrobić, gdy tylko zauważysz SMS-a z kodami dostępu WhatsApp, o które nie prosiłeś.

Zalecili również powiązanie wiadomości e-mail z kontem, aby ułatwić przywrócenie dostępu. Nie było stwierdzeń o zwiększeniu bezpieczeństwa, aby osoba postronna nie mogła zablokować Twojego posłańca.