Útočníci našli způsob, jak blokovat WhatsApp

jak informuje Útočníci Forbes přišli s novým způsobem, jak zhoršit život uživatelům aplikace WhatsApp. Vše, co musíte udělat, je znát vaše telefonní číslo - a ani dvoufaktorové ověřování neublíží.

Funguje to takto. Útočník nainstaluje WhatsApp na svůj smartphone a vstoupí vaše číslo. O povolení požádá jeho posel o kód - který přijde vaše telefon, ale ignorujete to, protože jste o to nepožádali a myslíte si, že je to chyba. Problém je v tom, že získání kódu nebylo cílem.

Útočník zadává náhodné kódy znovu a znovu, aniž by se pokoušel uhodnout ten správný. Po několika neúspěšných pokusech systém blokuje odesílání nových kódů na 12 hodin. Váš posel tedy funguje dobře, ale odesílání autorizačních kódů je pozastaveno. Teoreticky to nebude problém, pokud během této doby nemusíte znovu procházet ověřováním.

Stejný útočník však poté vytvoří nový e-mail, napíše technické podpoře, že jeho telefonní číslo [vaše číslo] bylo odcizeno, a požádá o deaktivaci přidruženého účtu. Technická podpora nijak nekontroluje, zda mu číslo patří, a deaktivuje účet.

A teprve v této fázi začne mít uživatel problémy: zobrazí se zpráva, že telefonní číslo není zaregistrováno u WhatsApp. Můžete se pokusit přihlásit k účtu pomocí ověřovacího kódu. Systém ale varuje, že jste provedli příliš mnoho neúspěšných pokusů o zadání, a musíte počkat 12 hodin. Zadání dříve přijatých kódů nefunguje.

Pokud jste se právě stali obětí špatného žertu, po 12 hodinách můžete znovu získat přístup. Útočník však nemusí zaslat požadavek technické podpoře, ale místo toho opakuje proces vyžádání kódů po vypršení platnosti časovače. Potřetí (tj. Po 24 hodinách od prvního útoku) se systém pokazí: časovač zobrazuje ne 12 hodin, ale -1 sekundu - a na obou smartphonech. Je nemožné to opravit.

Pokud poté odešlete požadavek na technickou podporu, účet je trvale deaktivován, protože je poškozený časovač. Toto je nejhorší možný vývoj událostí.

Jak je tohle možné?

Důvod je jednoduchý: posel je ve skutečnosti vázán pouze na telefonní číslo a neporovnává operační systém a identifikační číslo zařízení. Samotní uživatelé navíc nemají žádnou ochranu před cizími osobami: pokud v messengeru zadáte něčí číslo a s tímto číslem je propojen účet, zobrazí se. Viditelnost vašeho účtu nemůžete omezit.

Není tedy těžké zjistit, kdo je zaregistrován u WhatsApp. Telefonní čísla uživatelů se zároveň pravidelně objevují v netěsnostech - jako nedávná masa švestka Facebookové databáze.

Není obtížné oba problémy vyřešit: stačí dát uživatelům možnost skrýt svůj účet před vyhledáváním a přidáváním způsob identifikace při zadávání z nového zařízení: například jej potvrďte prostřednictvím již autorizovaného zařízení v systému přístroj.

Co když se pokusí účet zablokovat?

Zástupci WhatsApp uvedli, že oběti takových útoků by se měly obrátit na technickou podporu: takové akce jsou v rozporu s pravidly pro používání platformy. Stojí to za to, jakmile si všimnete SMS s přístupovými kódy WhatsApp, které jste nepožádali.

Doporučili také propojit e-mail s vaším účtem, aby bylo snazší obnovit přístup. Nebyla žádná prohlášení o zvýšení bezpečnosti, aby cizinec nemohl blokovat vašeho posla.