Sikkerhedsforskere har fundet en ny WhatsApp-sårbarhed, der gør det muligt for angribere nemt at låse dig ude af din konto.
Sikkerhedsforskere har fundet en ny sårbarhed i WhatsApp, der kan få flere brugere til at gøre det forlade den Facebook-ejede beskedtjeneste. Ondsindede aktører kan nemt udnytte denne sårbarhed til at låse dig ude af din WhatsApp-konto på ubestemt tid, hvilket gør det til mere end blot en mindre besvær for budbringerens 2 milliarder+ brugere. Men det er ikke det værste.
Ifølge forskerne Luis Márquez Carpintero og Ernesto Canales Pereña (via Forbes), kræver angribere ikke nogen speciel software eller træning for at udnytte denne sårbarhed. De skal kun have adgang til dit telefonnummer. Når de har det, kan de låse dig ude af din WhatsApp-konto uden stor indsats. Og her er hvordan det fungerer.
WhatsApp kræver to-faktor-godkendelse, hver gang du logger ind på en ny enhed. Til dette sender tjenesten en sekscifret kode til dit telefonnummer til verifikation. Hvis du indtaster den forkerte kode flere gange, suspenderer WhatsApp din konto automatisk i 12 timer.
Angribere kan udnytte dette to-faktor-godkendelsessystem ved at installere WhatsApp på en ny enhed, indtaste dit telefonnummer og gentagne gange indtaste den forkerte kode. Selvom dette forhindrer dig i at logge ind på en ny enhed i de næste 12 timer, vil det ikke påvirke din nuværende WhatsApp-installation. Det vil fortsætte med at fungere efter hensigten.
For at forhindre dig i at logge ind på en ny enhed på ubestemt tid, behøver en angriber kun at gentage de førnævnte trin tre gange. På den tredje 12-timers cyklus vil appens suspensionstimer bryde og begynde at vise en "-1 sekunder" timer i stedet. Når den fejl dukker op, vil WhatsApp slet ikke lade dig logge ind på en ny enhed. Din nuværende installation vil dog fortsætte med at fungere. Men udnyttelsen slutter ikke der, da den kan lænkes frem for at øge dens effekt drastisk.
Angriberens sidste træk vil også bryde din nuværende installation, og du vil blive låst ude af din konto permanent. Til dette er alt, hvad angriberen skal gøre, at sende WhatsApp en e-mail, der beder tjenesten om at deaktivere dit telefonnummer. WhatsApp sender muligvis et automatisk svar og beder angriberen om at bekræfte nummeret, og når de bekræfter, deaktiverer WhatsApp automatisk din konto uden din viden.
Din nuværende WhatsApp-installation stopper derefter med at fungere pludseligt, og du vil se følgende meddelelse: "Dit telefonnummer er ikke længere registreret hos WhatsApp på denne telefon. Det kan skyldes, at du har registreret det på en anden telefon. Hvis du ikke gjorde dette, skal du bekræfte dit telefonnummer for at logge ind på din konto igen." Nu, når du forsøger at bekræfte dit telefonnummer, vil du se "-1 sekunders" suspenderingstimeren, og du vil slet ikke kunne logge ind.
Da der ikke er nogen sofistikeret til dette angreb, kan enhver med adgang til dit telefonnummer nemt låse dig ude af din WhatsApp-konto i løbet af få dage. Derfor er WhatsApp nødt til at løse dette iøjnefaldende problem med det samme.
Messengeren er allerede blevet advaret om problemet. Som svar på afsløringen fortalte en WhatsApp-talsmand Forbes at "at angive en e-mailadresse med din totrinsbekræftelse hjælper vores kundeserviceteam med at hjælpe folk, hvis de nogensinde skulle støde på dette usandsynlige problem." Det faktum, at WhatsApp anser dette for at være et "usandsynligt" problem, burde være grund nok for mange brugere til at gå væk fra tjenesten. Oven i det tilføjede talsmanden, at de, der forsøgte udnyttelsen, ville overtræde WhatsApps servicevilkår. Som om det vil skræmme alle hackere væk og forhindre spøgefugle i at prøve udnyttelsen på en intetanende bruger.
Vi opfordrer vores læsere til ikke at udnytte denne sårbarhed, ikke fordi overtrædelse af WhatsApps servicevilkår vil lande dig i fængsel, men fordi det er en ret lort ting at gøre. Hvis du endelig er klar til at skifte til en anden tjeneste, så tjek vores dybdegående guide om WhatsApp-alternativer der fremhæver alle fordele og ulemper ved at skifte til en anden platform.