Bezpečnostní výzkumníci našli novou zranitelnost WhatsApp, která umožňuje útočníkům snadno vám zamknout váš účet.
Bezpečnostní výzkumníci našli v WhatsApp novou zranitelnost, která může přimět více uživatelů ukončete službu zasílání zpráv vlastněnou společností Facebook. Zlomyslní aktéři mohou tuto zranitelnost snadno zneužít k tomu, aby vám na neurčito zablokovali váš účet WhatsApp, což pro více než 2 miliardy uživatelů messengeru činí více než jen malou nepříjemnost. Ale to není to nejhorší.
Podle výzkumníků Luis Márquez Carpintero a Ernesto Canales Pereña (přes Forbes), útočníci nevyžadují žádný speciální software ani školení ke zneužití této chyby zabezpečení. Potřebují pouze přístup k vašemu telefonnímu číslu. Jakmile to budou mít, mohou vás bez velkého úsilí zablokovat z vašeho účtu WhatsApp. A tady je návod, jak to funguje.
WhatsApp vyžaduje dvoufaktorové ověření, kdykoli se přihlásíte na novém zařízení. Za tímto účelem služba odešle na vaše telefonní číslo šestimístný kód pro ověření. V případě, že zadáte nesprávný kód několikrát, WhatsApp automaticky pozastaví váš účet na 12 hodin.
Útočníci mohou tento dvoufaktorový ověřovací systém zneužít tím, že si nainstalují WhatsApp na nové zařízení, zadají vaše telefonní číslo a opakovaně zadají nesprávný kód. I když vám to zabrání v přihlášení na novém zařízení po dobu následujících 12 hodin, neovlivní to vaši aktuální instalaci WhatsApp. Bude to dál fungovat podle plánu.
Abyste se mohli na novém zařízení neomezeně přihlašovat, útočníkovi stačí výše uvedené kroky opakovat třikrát. Ve třetím 12hodinovém cyklu se časovač pozastavení aplikace přeruší a místo toho začne zobrazovat časovač „-1 sekundy“. Jakmile se tato chyba objeví, WhatsApp vám vůbec nedovolí přihlásit se na novém zařízení. Vaše aktuální instalace však bude nadále fungovat. Tím ale užitek nekončí, protože jej lze připoutat dopředu a drasticky zvýšit jeho dopad.
Poslední krok útočníka prolomí i vaši aktuální instalaci a budete trvale uzamčeni ze svého účtu. K tomu stačí, aby útočník poslal WhatsApp e-mail s žádostí o deaktivaci vašeho telefonního čísla. WhatsApp může poslat automatickou odpověď s žádostí o potvrzení čísla útočníka, a jakmile potvrdí, WhatsApp automaticky deaktivuje váš účet bez vašeho vědomí.
Vaše aktuální instalace WhatsApp pak náhle přestane fungovat a zobrazí se následující upozornění: „Vaše telefonní číslo již není v tomto telefonu registrováno u WhatsApp. Může to být způsobeno tím, že jste jej zaregistrovali na jiném telefonu. Pokud jste to neudělali, ověřte své telefonní číslo a přihlaste se zpět ke svému účtu." Nyní, když se pokusíte ověřit své telefonní číslo, uvidíte časovač pozastavení „-1 sekundy“ a nebudete se moci vůbec přihlásit.
Vzhledem k tomu, že tento útok není nijak sofistikovaný, každý, kdo má přístup k vašemu telefonnímu číslu, vás může během několika dní snadno uzamknout z vašeho účtu WhatsApp. WhatsApp proto musí tento do očí bijící problém okamžitě řešit.
Posel již byl na problém upozorněn. V reakci na odhalení to řekl mluvčí WhatsApp Forbes že "poskytnutí e-mailové adresy s vaším dvoufázovým ověřením pomůže našemu týmu zákaznických služeb pomoci lidem, pokud by se někdy setkali s tímto nepravděpodobným problémem." Skutečnost, že to WhatsApp považuje za „nepravděpodobný“ problém, by měla být pro mnoho uživatelů dostatečným důvodem k odchodu ze služby. Kromě toho mluvčí dodal, že ti, kteří by se pokusili o zneužití, by porušili podmínky služby WhatsApp. Jako by to zastrašilo všechny hackery a zabránilo vtipálkům vyzkoušet exploit na nic netušícího uživatele.
Vyzýváme naše čtenáře, aby tuto chybu zabezpečení nezneužívali, ne proto, že porušení podmínek služby WhatsApp vás dostane do vězení, ale proto, že je to docela hnusná věc. Také, pokud jste konečně připraveni přejít na jinou službu, podívejte se na naši podrobný průvodce alternativami WhatsApp který zdůrazňuje všechny výhody a nevýhody přechodu na jinou platformu.