Изследователите по сигурността откриха нова уязвимост на WhatsApp, която позволява на нападателите лесно да ви блокират от вашия акаунт.
Изследователите по сигурността откриха нова уязвимост в WhatsApp, която може да накара повече потребители да го направят напуснете услугата за съобщения, собственост на Facebook. Злонамерените участници могат лесно да се възползват от тази уязвимост, за да ви блокират от вашия акаунт в WhatsApp за неопределено време, което го прави повече от просто незначително неудобство за над 2 милиарда потребители на месинджъра. Но това не е най-лошото.
Според изследователите Луис Маркес Карпинтеро и Ернесто Каналес Переня (чрез Форбс), атакуващите не се нуждаят от специален софтуер или обучение, за да използват тази уязвимост. Те се нуждаят само от достъп до вашия телефонен номер. След като имат това, те могат да ви блокират от вашия акаунт в WhatsApp без много усилия. И ето как работи.
WhatsApp изисква двуфакторно удостоверяване всеки път, когато влезете на ново устройство. За целта услугата изпраща шестцифрен код на вашия телефонен номер за проверка. В случай, че въведете грешен код няколко пъти, WhatsApp спира автоматично акаунта ви за 12 часа.
Нападателите могат да използват тази двуфакторна система за удостоверяване, като инсталират WhatsApp на ново устройство, въведат вашия телефонен номер и многократно въвеждат грешен код. Въпреки че това ще ви попречи да влезете на ново устройство през следващите 12 часа, това няма да засегне текущата ви инсталация на WhatsApp. Ще продължи да работи по предназначение.
За да ви попречи да влизате на ново устройство за неопределено време, нападателят трябва само да повтори гореспоменатите стъпки три пъти. На третия 12-часов цикъл таймерът за спиране на приложението ще се счупи и вместо това ще започне да показва таймер „-1 секунди“. След като тази грешка се появи, WhatsApp изобщо няма да ви позволи да влезете на ново устройство. Текущата ви инсталация обаче ще продължи да работи. Но експлойтът не свършва дотук, тъй като може да бъде прикован напред, за да увеличи драстично въздействието си.
Последният ход на атакуващия ще прекъсне и текущата ви инсталация и ще бъдете заключени за постоянно от акаунта си. За целта всичко, което нападателят трябва да направи, е да изпрати на WhatsApp имейл с искане услугата да деактивира вашия телефонен номер. WhatsApp може да изпрати автоматичен отговор с молба към нападателя да потвърди номера и след като потвърди, WhatsApp автоматично ще деактивира акаунта ви без ваше знание.
Текущата ви инсталация на WhatsApp внезапно ще спре да работи и ще видите следното известие: „Вашият телефонен номер вече не е регистриран в WhatsApp на този телефон. Това може да се дължи на факта, че сте го регистрирали на друг телефон. Ако не сте направили това, потвърдете телефонния си номер, за да влезете отново в акаунта си." Сега, когато се опитате да потвърдите телефонния си номер, ще видите таймера за спиране „-1 секунди“ и изобщо няма да можете да влезете.
Тъй като тази атака не е изтънчена, всеки, който има достъп до вашия телефонен номер, може лесно да ви заключи от вашия акаунт в WhatsApp за няколко дни. Следователно WhatsApp трябва незабавно да се справи с този очевиден проблем.
Месинджърът вече е уведомен за проблема. В отговор на разкритието каза говорител на WhatsApp Форбс че „Предоставянето на имейл адрес с вашата проверка в две стъпки помага на нашия екип за обслужване на клиенти да помага на хората, ако някога се сблъскат с този малко вероятен проблем.“ Фактът, че WhatsApp смята това за „малко вероятен“ проблем, трябва да е достатъчна причина за много потребители да се отдалечат от услугата. На всичкото отгоре говорителят добави, че тези, които се опитват да експлойтват, ще нарушат условията на услугата на WhatsApp. Сякаш това ще изплаши всички хакери и ще попречи на шегаджиите да изпробват експлойта върху нищо неподозиращ потребител.
Призоваваме нашите читатели да не използват тази уязвимост, не защото нарушаването на условията за ползване на WhatsApp ще ви вкара в затвора, а защото това е доста гадно нещо. Освен това, ако най-накрая сте готови да преминете към друга услуга, вижте нашата задълбочено ръководство за алтернативите на WhatsApp който подчертава всички плюсове и минуси на преминаването към друга платформа.