Turvauurijad on leidnud uue WhatsAppi haavatavuse, mis võimaldab ründajatel teid hõlpsalt teie kontolt välja lülitada.
Turvauurijad on leidnud WhatsAppis uue haavatavuse, mis võib kutsuda rohkem kasutajaid seda tegema sulgege Facebooki omanduses olev sõnumsideteenus. Pahatahtlikud osalejad saavad seda haavatavust hõlpsasti ära kasutada, et lukustada teid määramata ajaks teie WhatsAppi kontolt välja, muutes selle Messengeri 2 miljardile+ kasutajale enamaks kui lihtsalt väikeseks ebamugavuseks. Kuid see pole kõige hullem.
Uurijate Luis Márquez Carpintero ja Ernesto Canales Pereña sõnulkaudu Forbes), ei vaja ründajad selle haavatavuse ärakasutamiseks spetsiaalset tarkvara ega koolitust. Neil on vaja ainult juurdepääsu teie telefoninumbrile. Kui neil see on, saavad nad teid teie WhatsAppi kontolt ilma suurema vaevata välja lülitada. Ja siin on, kuidas see töötab.
WhatsApp nõuab kahefaktorilist autentimist iga kord, kui logite sisse uues seadmes. Selleks saadab teenus teie telefoninumbrile kontrollimiseks kuuekohalise koodi. Kui sisestate mitu korda vale koodi, peatab WhatsApp teie konto automaatselt 12 tunniks.
Ründajad saavad seda kahefaktorilist autentimissüsteemi ära kasutada, installides uude seadmesse WhatsAppi, sisestades oma telefoninumbri ja sisestades korduvalt vale koodi. Kuigi see takistab teil järgmise 12 tunni jooksul uude seadmesse sisse logimist, ei mõjuta see teie praegust WhatsAppi installimist. See jätkab tööd nagu ette nähtud.
Et te ei saaks uude seadmesse lõputult sisse logida, peab ründaja ülalnimetatud samme kordama vaid kolm korda. Kolmandal 12-tunnisel tsüklil läheb rakenduse vedrustuse taimer katki ja hakkab selle asemel näitama "-1 sekundi" taimerit. Kui see viga ilmneb, ei lase WhatsApp teil uude seadmesse üldse sisse logida. Teie praegune installimine töötab siiski edasi. Kuid ärakasutamine ei lõpe sellega, sest seda saab edasi aheldada, et selle mõju drastiliselt suurendada.
Ründaja viimane käik rikub ka teie praeguse installi ja te kaotate oma kontole jäädavalt juurdepääsu. Selleks peab ründaja saatma WhatsAppile meili, milles palutakse teenusel teie telefoninumber deaktiveerida. WhatsApp võib saata automaatse vastuse, milles palub ründajal number kinnitada, ja kui ta seda kinnitab, desaktiveerib WhatsApp teie konto automaatselt teie teadmata.
Teie praegune WhatsAppi installimine lakkab siis äkki töötamast ja näete järgmist teatist: "Teie telefoninumber ei ole enam selles telefonis WhatsAppis registreeritud. See võib olla tingitud sellest, et registreerisite selle teises telefonis. Kui te seda ei teinud, kinnitage oma telefoninumber, et kontole tagasi logida." Nüüd, kui proovite oma telefoninumbrit kinnitada, näete peatamistaimerit "-1 sekund" ja te ei saa üldse sisse logida.
Kuna see rünnak ei ole keerukas, saavad kõik, kellel on juurdepääs teie telefoninumbrile, teid mõne päevaga hõlpsalt teie WhatsAppi kontolt lukustada. Seetõttu peab WhatsApp selle silmatorkava probleemiga viivitamatult tegelema.
Sõnumitooja on probleemist juba teavitatud. Vastuseks avalikustamisele ütles WhatsAppi pressiesindaja Forbes et "Kaheastmelise kinnitamisega e-posti aadressi esitamine aitab meie klienditeenindusmeeskonnal inimesi aidata, kui neil peaks kunagi see ebatõenäoline probleem kokku puutuma." Asjaolu, et WhatsApp peab seda "ebatõenäoliseks" probleemiks, peaks olema piisav põhjus, et paljud kasutajad teenusest lahkuksid. Peale selle lisas pressiesindaja, et ärakasutamist üritavad isikud rikuvad WhatsAppi teenusetingimusi. Justkui peletaks see kõik häkkerid eemale ja takistaks naljameestel pahaaimamatu kasutaja kallal ärakasutamist proovida.
Kutsume oma lugejaid üles seda haavatavust mitte ära kasutama mitte sellepärast, et WhatsAppi teenusetingimuste rikkumine viib teid vanglasse, vaid sellepärast, et see on üsna nõme tegu. Lisaks, kui olete lõpuks valmis teisele teenusele üle minema, vaadake meie põhjalik juhend WhatsAppi alternatiivide kohta mis toob esile kõik teisele platvormile ülemineku plussid ja miinused.