Saugumo tyrinėtojai rado naują WhatsApp pažeidžiamumą, leidžiantį užpuolikams lengvai užblokuoti jūsų paskyrą.
Saugumo tyrinėtojai aptiko naują WhatsApp pažeidžiamumą, kuris gali paskatinti daugiau vartotojų išeiti iš „Facebook“ priklausančios pranešimų paslaugos. Kenkėjiški veikėjai gali nesunkiai pasinaudoti šiuo pažeidžiamumu, kad neribotam laikui užblokuotų jus nuo jūsų WhatsApp paskyros, todėl daugiau nei 2 milijardams pasiuntinio naudotojų tai yra daugiau nei nedidelis nepatogumas. Bet tai nėra blogiausia dalis.
Pasak tyrinėtojų Luiso Márquezo Carpintero ir Ernesto Canales Pereña (per Forbes), užpuolikai nereikalauja jokios specialios programinės įrangos ar mokymo, kad galėtų išnaudoti šį pažeidžiamumą. Jiems tereikia prieigos prie jūsų telefono numerio. Kai jie tai turės, jie gali be didelių pastangų užblokuoti jus nuo jūsų „WhatsApp“ paskyros. Ir štai kaip tai veikia.
„WhatsApp“ reikalauja dviejų veiksnių autentifikavimo, kai prisijungiate prie naujo įrenginio. Norėdami tai padaryti, paslauga patikrinimui siunčia šešių skaitmenų kodą jūsų telefono numeriu. Jei kelis kartus įvesite neteisingą kodą, WhatsApp automatiškai sustabdo jūsų paskyrą 12 valandų.
Užpuolikai gali išnaudoti šią dviejų veiksnių autentifikavimo sistemą naujame įrenginyje įdiegę WhatsApp, įvesdami savo telefono numerį ir pakartotinai įvesdami neteisingą kodą. Nors tai neleis jums prisijungti prie naujo įrenginio ateinančias 12 valandų, tai neturės įtakos dabartiniam „WhatsApp“ diegimui. Ir toliau veiks taip, kaip numatyta.
Kad neprisijungtumėte prie naujo įrenginio neribotą laiką, užpuolikui tereikia tris kartus pakartoti pirmiau minėtus veiksmus. Trečiojo 12 valandų ciklo metu programos sustabdymo laikmatis nutrūks ir vietoj to pradės rodyti „-1 sekundės“ laikmatį. Kai tik ši klaida pasirodys, „WhatsApp“ iš viso neleis prisijungti prie naujo įrenginio. Tačiau jūsų dabartinis diegimas veiks ir toliau. Tačiau išnaudojimas tuo nesibaigia, nes jį galima grandinėmis į priekį, kad būtų drastiškai padidintas jo poveikis.
Paskutinis užpuoliko veiksmas taip pat sugadins jūsų dabartinį diegimą ir būsite visam laikui užrakintas prie paskyros. Norėdami tai padaryti, užpuolikas turi nusiųsti el. laišką „WhatsApp“, prašydamas išjungti jūsų telefono numerį. „WhatsApp“ gali išsiųsti automatinį atsakymą, prašydamas užpuoliko patvirtinti numerį, o jam patvirtinus „WhatsApp“ automatiškai išjungs jūsų paskyrą be jūsų žinios.
Tada jūsų dabartinis „WhatsApp“ diegimas staiga nustos veikti ir pamatysite šį pranešimą: „Jūsų telefono numeris nebėra registruotas su WhatsApp šiame telefone. Taip gali būti todėl, kad užregistravote jį kitame telefone. Jei to nepadarėte, patvirtinkite savo telefono numerį, kad vėl prisijungtumėte prie paskyros. Dabar, kai bandysite patvirtinti savo telefono numerį, pamatysite sustabdymo laikmatį „-1 sekundė“ ir iš viso negalėsite prisijungti.
Kadangi ši ataka nėra sudėtinga, bet kas, turintis prieigą prie jūsų telefono numerio, per kelias dienas gali lengvai užblokuoti jus nuo jūsų „WhatsApp“ paskyros. Todėl „WhatsApp“ turi nedelsiant išspręsti šią akivaizdžią problemą.
Pasiuntinys jau buvo įspėtas apie problemą. Atsakydamas į atskleidimą, sakė „WhatsApp“ atstovas Forbes kad „El. pašto adreso su patvirtinimu dviem veiksmais pateikimas padeda mūsų klientų aptarnavimo komandai padėti žmonėms, jei jie kada nors susidurs su šia mažai tikėtina problema. Tai, kad „WhatsApp“ mano, kad tai „netikėtina“ problema, turėtų būti pakankama priežastis daugeliui vartotojų atsisakyti paslaugos. Be to, atstovas pridūrė, kad bandantys išnaudoti pažeis „WhatsApp“ paslaugų teikimo sąlygas. Tarsi tai atbaidys visus įsilaužėlius ir neleis pokštininkams išbandyti nieko neįtariančio vartotojo išnaudojimo.
Raginame savo skaitytojus nesinaudoti šiuo pažeidžiamumu ne todėl, kad pažeidę „WhatsApp“ paslaugų teikimo sąlygas pateksite į kalėjimą, o todėl, kad tai gana šlykštus dalykas. Be to, jei pagaliau esate pasirengę pereiti prie kitos paslaugos, peržiūrėkite mūsų išsamų „WhatsApp“ alternatyvų vadovą kuri pabrėžia visus perėjimo prie kitos platformos privalumus ir trūkumus.