Sigurnosni istraživači pronašli su novu ranjivost WhatsAppa koja omogućuje napadačima da vas lako zaključaju s vašeg računa.
Sigurnosni istraživači pronašli su novu ranjivost u WhatsAppu koja bi mogla potaknuti više korisnika na to napustite uslugu razmjene poruka u vlasništvu Facebooka. Zlonamjernici mogu lako iskoristiti ovu ranjivost kako bi vas zaključali s vašeg WhatsApp računa na neodređeno vrijeme, čineći to više od male neugodnosti za više od 2 milijarde korisnika ovog messengera. Ali to nije ono najgore.
Prema istraživačima Luis Márquez Carpintero i Ernesto Canales Pereña (preko Forbes), napadačima nije potreban poseban softver ili obuka za iskorištavanje ove ranjivosti. Potreban im je samo pristup vašem broju telefona. Nakon što to imaju, mogu vas zaključati s vašeg WhatsApp računa bez puno truda. A evo kako to radi.
WhatsApp zahtijeva dvostruku autentifikaciju kad god se prijavite na novom uređaju. U tu svrhu usluga šalje šesteroznamenkasti kod na vaš telefonski broj radi provjere. U slučaju da nekoliko puta unesete pogrešan kod, WhatsApp automatski suspendira vaš račun na 12 sati.
Napadači mogu iskoristiti ovaj dvofaktorski sustav autentifikacije tako da instaliraju WhatsApp na novi uređaj, unesu vaš telefonski broj i opetovano upisuju pogrešan kod. Iako će vas to spriječiti da se prijavite na novom uređaju sljedećih 12 sati, to neće utjecati na vašu trenutnu instalaciju WhatsAppa. Nastavit će raditi kako je predviđeno.
Kako bi vas spriječio da se neograničeno prijavljujete na novi uređaj, napadač treba samo triput ponoviti gore navedene korake. U trećem 12-satnom ciklusu, mjerač vremena za obustavu aplikacije će se prekinuti i umjesto toga će početi prikazivati mjerač vremena "-1 sekunda". Nakon što se ta pogreška pojavi, WhatsApp vam više neće dopustiti prijavu na novom uređaju. Međutim, vaša trenutna instalacija će nastaviti raditi. Ali iskorištavanje tu ne završava, jer se može vezati naprijed kako bi se drastično povećao njegov učinak.
Posljednji potez napadača također će pokvariti vašu trenutnu instalaciju, a vi ćete biti trajno zaključani sa svog računa. Za to sve što napadač treba učiniti je poslati WhatsAppu e-poruku tražeći od usluge da deaktivira vaš telefonski broj. WhatsApp bi mogao poslati automatski odgovor tražeći od napadača da potvrdi broj, a nakon što potvrdi, WhatsApp će automatski deaktivirati vaš račun bez vašeg znanja.
Vaša trenutna instalacija WhatsAppa iznenada će prestati raditi i vidjet ćete sljedeću obavijest: "Vaš broj telefona više nije registriran na WhatsAppu na ovom telefonu. To može biti zato što ste ga registrirali na drugom telefonu. Ako to niste učinili, potvrdite svoj telefonski broj da biste se ponovno prijavili na svoj račun." Sada, kada pokušate potvrditi svoj telefonski broj, vidjet ćete mjerač vremena obustave "-1 sekunda" i uopće se nećete moći prijaviti.
Budući da ovaj napad nema sofisticiranosti, svatko tko ima pristup vašem telefonskom broju može vas lako zaključati s vašeg WhatsApp računa u roku od nekoliko dana. Stoga WhatsApp mora odmah riješiti ovaj očigledan problem.
Glasnik je već upozoren na problem. Kao odgovor na otkrivanje, glasnogovornik WhatsAppa rekao je Forbes da "Pružanje adrese e-pošte uz potvrdu u dva koraka pomaže našem timu korisničke službe da pomogne ljudima ako se ikad susreću s ovim malo vjerojatnim problemom." Činjenica da WhatsApp ovo smatra "malo vjerojatnim" problemom trebala bi biti dovoljan razlog za mnoge korisnike da se odmaknu od usluge. Povrh toga, glasnogovornik je dodao da bi oni koji pokušaju iskoristiti prekršili uvjete usluge WhatsAppa. Kao da će to prestrašiti sve hakere i spriječiti šaljivdžije da iskušaju iskorištavanje na korisniku koji ništa ne sumnja.
Pozivamo naše čitatelje da ne iskorištavaju ovu ranjivost, ne zato što će vas kršenje WhatsAppovih uvjeta usluge dovesti u zatvor, već zato što je to prilično usrana stvar. Također, ako ste konačno spremni prijeći na drugu uslugu, pogledajte našu detaljan vodič o alternativama za WhatsApp koji ističe sve prednosti i mane prelaska na drugu platformu.