Οι ερευνητές ασφαλείας βρήκαν μια νέα ευπάθεια στο WhatsApp που επιτρέπει στους εισβολείς να σας κλειδώνουν εύκολα από τον λογαριασμό σας.
Ερευνητές ασφαλείας ανακάλυψαν μια νέα ευπάθεια στο WhatsApp που μπορεί να ωθήσει περισσότερους χρήστες να το κάνουν κλείστε την υπηρεσία ανταλλαγής μηνυμάτων που ανήκει στο Facebook. Οι κακόβουλοι παράγοντες μπορούν εύκολα να εκμεταλλευτούν αυτήν την ευπάθεια για να σας κλειδώσουν επ' αόριστον από τον λογαριασμό σας στο WhatsApp, καθιστώντας το κάτι περισσότερο από μια μικρή ταλαιπωρία για τους 2 δισεκατομμύρια+ χρήστες του messenger. Αλλά αυτό δεν είναι το χειρότερο μέρος.
Σύμφωνα με τους ερευνητές Luis Márquez Carpintero και Ernesto Canales Pereña (μέσω Forbes), οι εισβολείς δεν απαιτούν κάποιο ειδικό λογισμικό ή εκπαίδευση για να εκμεταλλευτούν αυτήν την ευπάθεια. Χρειάζονται μόνο πρόσβαση στον αριθμό τηλεφώνου σας. Μόλις το αποκτήσουν, μπορούν να σας κλειδώσουν από τον λογαριασμό σας WhatsApp χωρίς μεγάλη προσπάθεια. Και να πώς λειτουργεί.
Το WhatsApp απαιτεί έλεγχο ταυτότητας δύο παραγόντων κάθε φορά που συνδέεστε σε μια νέα συσκευή. Για αυτό, η υπηρεσία στέλνει έναν εξαψήφιο κωδικό στον αριθμό τηλεφώνου σας για επαλήθευση. Σε περίπτωση που εισάγετε λάθος κωδικό πολλές φορές, το WhatsApp αναστέλλει αυτόματα τον λογαριασμό σας για 12 ώρες.
Οι εισβολείς μπορούν να εκμεταλλευτούν αυτό το σύστημα ελέγχου ταυτότητας δύο παραγόντων εγκαθιστώντας το WhatsApp σε μια νέα συσκευή, εισάγοντας τον αριθμό τηλεφώνου σας και εισάγοντας επανειλημμένα λάθος κωδικό. Αν και αυτό θα σας εμποδίσει να συνδεθείτε σε μια νέα συσκευή για τις επόμενες 12 ώρες, δεν θα επηρεάσει την τρέχουσα εγκατάσταση του WhatsApp. Θα συνεχίσει να λειτουργεί όπως προβλέπεται.
Για να μην μπορείτε να συνδεθείτε σε μια νέα συσκευή επ' αόριστον, ένας εισβολέας χρειάζεται μόνο να επαναλάβει τα προαναφερθέντα βήματα τρεις φορές. Στον τρίτο κύκλο 12 ωρών, ο χρονοδιακόπτης αναστολής της εφαρμογής θα σπάσει και θα αρχίσει να εμφανίζει ένα χρονόμετρο "-1 δευτερόλεπτα". Μόλις εμφανιστεί αυτό το σφάλμα, το WhatsApp δεν θα σας επιτρέψει καθόλου να συνδεθείτε σε μια νέα συσκευή. Ωστόσο, η τρέχουσα εγκατάσταση θα συνεχίσει να λειτουργεί. Αλλά το exploit δεν τελειώνει εκεί, καθώς μπορεί να αλυσοδεθεί προς τα εμπρός για να αυξήσει δραστικά τον αντίκτυπό του.
Η τελική κίνηση του εισβολέα θα διακόψει και την τρέχουσα εγκατάσταση και θα κλειδωθείτε μόνιμα από τον λογαριασμό σας. Για αυτό, το μόνο που χρειάζεται να κάνει ο εισβολέας είναι να στείλει στο WhatsApp ένα email ζητώντας από την υπηρεσία να απενεργοποιήσει τον αριθμό τηλεφώνου σας. Το WhatsApp μπορεί να στείλει μια αυτοματοποιημένη απάντηση ζητώντας από τον εισβολέα να επιβεβαιώσει τον αριθμό και μόλις επιβεβαιώσει, το WhatsApp θα απενεργοποιήσει αυτόματα τον λογαριασμό σας χωρίς να το γνωρίζετε.
Η τρέχουσα εγκατάσταση του WhatsApp θα σταματήσει να λειτουργεί ξαφνικά και θα δείτε την ακόλουθη ειδοποίηση: "Ο αριθμός τηλεφώνου σας δεν είναι πλέον εγγεγραμμένος στο WhatsApp σε αυτό το τηλέφωνο. Αυτό μπορεί να οφείλεται στο ότι το καταχωρίσατε σε άλλο τηλέφωνο. Εάν δεν το κάνατε αυτό, επαληθεύστε τον αριθμό τηλεφώνου σας για να συνδεθείτε ξανά στον λογαριασμό σας." Τώρα, όταν προσπαθείτε να επαληθεύσετε τον αριθμό τηλεφώνου σας, θα δείτε το χρονόμετρο αναστολής "-1 δευτερόλεπτα" και δεν θα μπορείτε να συνδεθείτε καθόλου.
Δεδομένου ότι δεν υπάρχει καμία πολυπλοκότητα σε αυτήν την επίθεση, οποιοσδήποτε έχει πρόσβαση στον αριθμό τηλεφώνου σας μπορεί εύκολα να σας κλειδώσει από τον λογαριασμό σας WhatsApp μέσα σε λίγες μέρες. Ως εκ τούτου, το WhatsApp πρέπει να αντιμετωπίσει αυτό το κραυγαλέο ζήτημα αμέσως.
Ο messenger έχει ήδη ειδοποιηθεί για το θέμα. Σε απάντηση στην αποκάλυψη, ένας εκπρόσωπος του WhatsApp είπε Forbes ότι "Η παροχή μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου με την επαλήθευση σε δύο βήματα βοηθά τα άτομα που βοηθούν την ομάδα εξυπηρέτησης πελατών μας, σε περίπτωση που αντιμετωπίσουν αυτό το απίθανο πρόβλημα." Το γεγονός ότι το WhatsApp θεωρεί ότι αυτό είναι ένα «απίθανο» πρόβλημα θα πρέπει να είναι αρκετός λόγος για πολλούς χρήστες να απομακρυνθούν από την υπηρεσία. Επιπλέον, ο εκπρόσωπος πρόσθεσε ότι όσοι επιχειρούν την εκμετάλλευση θα παραβιάζουν τους όρους παροχής υπηρεσιών του WhatsApp. Λες και αυτό θα τρομάξει όλους τους χάκερ και θα αποτρέψει τους φαρσέρ από το να δοκιμάσουν την εκμετάλλευση σε έναν ανυποψίαστο χρήστη.
Προτρέπουμε τους αναγνώστες μας να μην εκμεταλλευτούν αυτήν την ευπάθεια, όχι επειδή η παραβίαση των όρων παροχής υπηρεσιών του WhatsApp θα σας οδηγήσει στη φυλακή, αλλά επειδή είναι ένα μάλλον άθλιο πράγμα να κάνετε. Επίσης, αν τελικά είστε έτοιμοι να μεταβείτε σε διαφορετική υπηρεσία, ρίξτε μια ματιά στο δικό μας αναλυτικός οδηγός για εναλλακτικές λύσεις WhatsApp που υπογραμμίζει όλα τα πλεονεκτήματα και τα μειονεκτήματα της μετάβασης σε άλλη πλατφόρμα.