Tietoturvatutkijat ovat löytäneet uuden WhatsApp-haavoittuvuuden, jonka avulla hyökkääjät voivat helposti lukita sinut ulos tililtäsi.
Tietoturvatutkijat ovat löytäneet WhatsAppista uuden haavoittuvuuden, joka saattaa saada useampia käyttäjiä siihen poistu Facebookin omistamasta viestipalvelusta. Haitalliset toimijat voivat helposti hyödyntää tätä haavoittuvuutta sulkeakseen sinut pois WhatsApp-tililtäsi määräämättömäksi ajaksi, mikä tekee siitä enemmän kuin vain pienen haitan lähettimen yli 2 miljardille käyttäjälle. Mutta se ei ole pahin osa.
Tutkijoiden Luis Márquez Carpinteron ja Ernesto Canales Pereñan mukaan (kautta Forbes), hyökkääjät eivät vaadi erityisiä ohjelmistoja tai koulutusta hyödyntääkseen tätä haavoittuvuutta. He tarvitsevat vain pääsyn puhelinnumeroosi. Kun heillä on se, he voivat lukita sinut ulos WhatsApp-tililtäsi ilman paljon vaivaa. Ja näin se toimii.
WhatsApp vaatii kaksivaiheisen todennuksen aina, kun kirjaudut sisään uudella laitteella. Tätä varten palvelu lähettää kuusinumeroisen koodin puhelinnumeroosi vahvistusta varten. Jos annat väärän koodin useita kertoja, WhatsApp jäädyttää tilisi automaattisesti 12 tunniksi.
Hyökkääjät voivat hyödyntää tätä kaksivaiheista todennusjärjestelmää asentamalla WhatsAppin uuteen laitteeseen, kirjoittamalla puhelinnumerosi ja syöttämällä toistuvasti väärän koodin. Vaikka tämä estää sinua kirjautumasta sisään uudelle laitteelle seuraavien 12 tunnin aikana, se ei vaikuta nykyiseen WhatsApp-asennukseesi. Se toimii jatkossakin suunnitellusti.
Jotta et kirjautuisi sisään uudelle laitteelle loputtomiin, hyökkääjän tarvitsee vain toistaa edellä mainitut vaiheet kolmesti. Kolmannella 12 tunnin jaksolla sovelluksen jousitusajastin katkeaa ja alkaa näyttää sen sijaan "-1 sekunnin" ajastinta. Kun tämä virhe ilmenee, WhatsApp ei anna sinun kirjautua sisään uuteen laitteeseen ollenkaan. Nykyinen asennuksesi toimii kuitenkin edelleen. Mutta hyväksikäyttö ei lopu tähän, sillä se voidaan ketjuttaa eteenpäin sen vaikutuksen lisäämiseksi rajusti.
Hyökkääjän viimeinen siirto rikkoo myös nykyisen asennuksesi, ja sinut lukitaan pysyvästi ulos tililtäsi. Tätä varten hyökkääjän tarvitsee vain lähettää WhatsAppille sähköposti, jossa pyydetään palvelua poistamaan puhelinnumerosi käytöstä. WhatsApp saattaa lähettää automaattisen vastauksen ja pyytää hyökkääjää vahvistamaan numeron, ja kun he vahvistavat, WhatsApp poistaa tilisi automaattisesti käytöstä tietämättäsi.
Nykyinen WhatsApp-asennus lakkaa sitten yhtäkkiä toimimasta ja näet seuraavan ilmoituksen: "Puhelinnumeroasi ei ole enää rekisteröity tämän puhelimen WhatsAppiin. Tämä saattaa johtua siitä, että rekisteröit sen toisella puhelimella. Jos et tehnyt tätä, vahvista puhelinnumerosi kirjautuaksesi takaisin tilillesi." Nyt, kun yrität vahvistaa puhelinnumeroasi, näet "-1 sekunnin" keskeytysajastimen, etkä voi kirjautua sisään ollenkaan.
Koska tässä hyökkäyksessä ei ole hienostuneisuutta, kuka tahansa, jolla on pääsy puhelinnumeroosi, voi helposti lukita sinut ulos WhatsApp-tililtäsi muutamassa päivässä. Siksi WhatsAppin on käsiteltävä tämä räikeä ongelma välittömästi.
Viesti on jo varoitettu ongelmasta. WhatsAppin tiedottaja kertoi vastauksena paljastukseen Forbes että "Sähköpostiosoitteen antaminen kaksivaiheisen vahvistuksen yhteydessä auttaa asiakaspalvelutiimiämme auttamaan ihmisiä, jos he kohtaavat tämän epätodennäköisen ongelman." Se, että WhatsApp pitää tätä "epätodennäköisenä" ongelmana, pitäisi olla riittävä syy monille käyttäjille siirtyä pois palvelusta. Tämän lisäksi tiedottaja lisäsi, että hyväksikäyttöä yrittäjät rikkoisivat WhatsAppin käyttöehtoja. Ikään kuin se pelottaisi kaikki hakkerit ja estäisi pilareita yrittämästä hyväksikäyttöä aavistamatonta käyttäjää kohtaan.
Kehotamme lukijoitamme olemaan hyödyntämättä tätä haavoittuvuutta, ei siksi, että WhatsAppin käyttöehtojen rikkominen joutuisi vankilaan, vaan siksi, että se on melko paskaa. Jos olet vihdoinkin valmis vaihtamaan toiseen palveluun, tutustu palveluihimme perusteellinen opas WhatsApp-vaihtoehdoista joka tuo esiin kaikki toiselle alustalle vaihtamisen edut ja haitat.