Sikkerhetsforskere har funnet en ny WhatsApp-sårbarhet som lar angripere enkelt låse deg ute fra kontoen din.
Sikkerhetsforskere har funnet en ny sårbarhet i WhatsApp som kan få flere brukere til å gjøre det avslutte den Facebook-eide meldingstjenesten. Ondsinnede aktører kan enkelt utnytte denne sårbarheten til å låse deg ute fra WhatsApp-kontoen din på ubestemt tid, noe som gjør det til mer enn bare en mindre ulempe for budbringerens 2 milliarder+ brukere. Men det er ikke det verste.
I følge forskerne Luis Márquez Carpintero og Ernesto Canales Pereña (via Forbes), krever ikke angripere noen spesiell programvare eller opplæring for å utnytte dette sikkerhetsproblemet. De trenger bare tilgang til telefonnummeret ditt. Når de har det, kan de låse deg ute fra WhatsApp-kontoen din uten mye innsats. Og her er hvordan det fungerer.
WhatsApp krever tofaktorautentisering hver gang du logger på en ny enhet. For dette sender tjenesten en sekssifret kode til telefonnummeret ditt for verifisering. I tilfelle du skriver inn feil kode flere ganger, suspenderer WhatsApp kontoen din automatisk i 12 timer.
Angripere kan utnytte dette tofaktorautentiseringssystemet ved å installere WhatsApp på en ny enhet, skrive inn telefonnummeret ditt og gjentatte ganger taste inn feil kode. Selv om dette vil hindre deg i å logge på en ny enhet de neste 12 timene, vil det ikke påvirke din nåværende WhatsApp-installasjon. Det vil fortsette å fungere etter hensikten.
For å hindre deg i å logge på en ny enhet på ubestemt tid, trenger en angriper bare å gjenta de nevnte trinnene tre ganger. På den tredje 12-timers syklusen vil appens suspensjonstidtaker brytes og begynne å vise en "-1 sekunder"-timer i stedet. Når den feilen dukker opp, lar WhatsApp deg ikke logge på en ny enhet i det hele tatt. Den nåværende installasjonen din vil imidlertid fortsette å fungere. Men utnyttelsen slutter ikke der, siden den kan lenkes frem for å drastisk øke effekten.
Angriperens siste trekk vil også bryte den nåværende installasjonen din, og du vil bli låst ute av kontoen din permanent. For dette er alt angriperen trenger å gjøre å sende WhatsApp en e-post som ber tjenesten om å deaktivere telefonnummeret ditt. WhatsApp kan sende et automatisk svar som ber angriperen om å bekrefte nummeret, og når de bekrefter, vil WhatsApp automatisk deaktivere kontoen din uten at du vet det.
Din nåværende WhatsApp-installasjon vil da slutte å fungere plutselig, og du vil se følgende varsel: "Telefonnummeret ditt er ikke lenger registrert med WhatsApp på denne telefonen. Dette kan være fordi du registrerte det på en annen telefon. Hvis du ikke gjorde dette, må du bekrefte telefonnummeret ditt for å logge på kontoen din igjen." Nå, når du prøver å bekrefte telefonnummeret ditt, vil du se "-1 sekunder" suspensjonstidtakeren, og du vil ikke kunne logge på i det hele tatt.
Siden det ikke er noen raffinement i dette angrepet, kan alle med tilgang til telefonnummeret ditt enkelt låse deg ute fra WhatsApp-kontoen din i løpet av få dager. Derfor må WhatsApp løse dette skarpe problemet umiddelbart.
Messengeren har allerede blitt varslet om problemet. Som svar på avsløringen sa en WhatsApp-talsperson Forbes at "å oppgi en e-postadresse med totrinnsverifiseringen din hjelper kundeserviceteamet vårt med å hjelpe folk hvis de noen gang skulle støte på dette usannsynlige problemet." At WhatsApp anser dette som et «usannsynlig» problem burde være grunn nok for mange brukere til å gå bort fra tjenesten. På toppen av det la talspersonen til at de som forsøkte utnyttelsen ville bryte WhatsApps vilkår for bruk. Som om det vil skremme bort alle hackere og hindre skøyere fra å prøve utnyttelsen på en intetanende bruker.
Vi oppfordrer våre lesere til ikke å utnytte denne sårbarheten, ikke fordi brudd på WhatsApps vilkår for bruk vil lande deg i fengsel, men fordi det er en ganske dritt ting å gjøre. Hvis du endelig er klar til å bytte til en annen tjeneste, sjekk ut vår dybdeveiledning om WhatsApp-alternativer som fremhever alle fordeler og ulemper ved å bytte til en annen plattform.