セキュリティ研究者は、攻撃者がユーザーをアカウントから簡単にロックアウトできる新しい WhatsApp の脆弱性を発見しました。
セキュリティ研究者は、WhatsApp に新たな脆弱性を発見しました。これにより、より多くのユーザーが次のことを行う可能性があります。 Facebook所有のメッセージングサービスをやめる. 悪意のある攻撃者はこの脆弱性を簡単に悪用して、ユーザーを WhatsApp アカウントから無期限にロックアウトすることができ、メッセンジャーの 20 億人以上のユーザーにとって単なる迷惑ではありません。 しかし、それが最悪の部分ではありません。
研究者のルイス・マルケス・カルピンテロ氏とエルネスト・カナレス・ペレーニャ氏によると、経由 フォーブス)、攻撃者はこの脆弱性を悪用するために特別なソフトウェアやトレーニングを必要としません。 彼らはあなたの電話番号にアクセスするだけで十分です。 それを手に入れてしまえば、手間をかけずに WhatsApp アカウントからあなたを締め出すことができます。 そして、これがその仕組みです。
WhatsApp では、新しいデバイスにログインするたびに 2 要素認証が必要です。 このため、サービスは確認のために 6 桁のコードを電話番号に送信します。 間違ったコードを数回入力すると、WhatsApp はアカウントを 12 時間自動的に停止します。
攻撃者は、新しいデバイスに WhatsApp をインストールし、電話番号を入力し、間違ったコードを繰り返し入力することで、この 2 要素認証システムを悪用する可能性があります。 これにより、今後 12 時間は新しいデバイスにログインできなくなりますが、現在の WhatsApp のインストールには影響しません。 引き続き意図したとおりに機能します。
新しいデバイスに無期限にログインできないようにするには、攻撃者は前述の手順を 3 回繰り返すだけで済みます。 3 回目の 12 時間サイクルでは、アプリの一時停止タイマーが停止し、代わりに「-1 秒」タイマーが表示され始めます。 このバグが発生すると、WhatsApp は新しいデバイスにまったくログインできなくなります。 ただし、現在のインストールは引き続き機能します。 しかし、エクスプロイトはそこで終わるわけではなく、連鎖的に前方に連鎖させてその影響を大幅に増大させることができます。
攻撃者の最後の動きにより、現在のインストールも破壊され、アカウントから永久にロックアウトされます。 このために攻撃者が行う必要があるのは、WhatsApp にあなたの電話番号を無効にするようサービスに要求する電子メールを送信することだけです。 WhatsApp は、攻撃者に番号の確認を求める自動応答を送信する可能性があり、攻撃者が確認すると、ユーザーが知らないうちに、WhatsApp が自動的にアカウントを無効化します。
現在の WhatsApp インストールは突然動作を停止し、次の通知が表示されます。 「あなたの電話番号はこの電話の WhatsApp に登録されていません。 別の電話で登録したことが原因である可能性があります。 これを行っていない場合は、電話番号を確認してアカウントに再度ログインしてください。」 ここで、電話番号を認証しようとすると、「-1 秒」の一時停止タイマーが表示され、まったくログインできなくなります。
この攻撃は高度なものではないため、あなたの電話番号にアクセスできる人なら誰でも、数日で簡単に WhatsApp アカウントからあなたをロックアウトできます。 したがって、WhatsApp はこの明らかな問題に直ちに対処する必要があります。
メッセンジャーにはすでにこの問題について通知されています。 この開示を受けて、WhatsAppの広報担当者は次のように述べた。 フォーブス それ 「2 段階認証でメール アドレスを提供していただくと、このような起こりそうもない問題が発生した場合に、カスタマー サービス チームがサポートするのに役立ちます。」 WhatsApp がこれを「ありそうもない」問題であると考えているという事実は、多くのユーザーがサービスから離れる十分な理由になるはずです。 さらに広報担当者は、このエクスプロイトを試みる者はWhatsAppの利用規約に違反することになると付け加えた。 あたかも、それがすべてのハッカーを怖がらせ、いたずら者が無防備なユーザーに悪用を試みることを防ぐかのように。
私たちは読者にこの脆弱性を悪用しないよう強く勧めます。WhatsApp の利用規約に違反すると刑務所に入れられるからではなく、それはかなりひどい行為だからです。 また、最終的に別のサービスに切り替える準備ができた場合は、こちらをご覧ください。 WhatsApp の代替手段に関する詳細ガイド これは、別のプラットフォームに切り替えることの長所と短所をすべて強調しています。