Badacze bezpieczeństwa odkryli nową lukę w zabezpieczeniach WhatsApp, która umożliwia atakującym łatwe zablokowanie dostępu do konta.
Badacze bezpieczeństwa odkryli nową lukę w WhatsApp, która może skłonić do tego większą liczbę użytkowników zamknąć usługę przesyłania wiadomości należącą do Facebooka. Złośliwe podmioty mogą z łatwością wykorzystać tę lukę, aby na czas nieokreślony zablokować dostęp do konta WhatsApp, co sprawi, że będzie to coś więcej niż tylko drobna niedogodność dla ponad 2 miliardów użytkowników komunikatora. Ale to nie jest najgorsze.
Według badaczy Luisa Márqueza Carpintero i Ernesto Canalesa Pereñy (przez Forbesa), osoby atakujące nie potrzebują żadnego specjalnego oprogramowania ani przeszkolenia, aby wykorzystać tę lukę. Potrzebują jedynie dostępu do Twojego numeru telefonu. Gdy już to zrobią, będą mogli bez większego wysiłku zablokować Ci dostęp do konta WhatsApp. A oto jak to działa.
WhatsApp wymaga uwierzytelniania dwuskładnikowego przy każdym logowaniu na nowym urządzeniu. W tym celu usługa wysyła na Twój numer telefonu sześciocyfrowy kod w celu weryfikacji. Jeśli kilka razy wprowadzisz błędny kod, WhatsApp automatycznie zawiesi Twoje konto na 12 godzin.
Atakujący mogą wykorzystać ten system uwierzytelniania dwuskładnikowego, instalując WhatsApp na nowym urządzeniu, wprowadzając swój numer telefonu i wielokrotnie wprowadzając błędny kod. Chociaż uniemożliwi to logowanie się na nowym urządzeniu przez następne 12 godzin, nie będzie miało to wpływu na bieżącą instalację WhatsApp. Będzie nadal działać zgodnie z przeznaczeniem.
Aby uniemożliwić Ci zalogowanie się na nowym urządzeniu w nieskończoność, atakujący musi jedynie trzykrotnie powtórzyć powyższe kroki. W trzecim 12-godzinnym cyklu licznik czasu zawieszenia aplikacji przestanie działać i zamiast tego zacznie pokazywać licznik czasu „-1 sekundy”. Gdy błąd się pojawi, WhatsApp w ogóle nie pozwoli Ci zalogować się na nowym urządzeniu. Jednak bieżąca instalacja będzie nadal działać. Na tym jednak exploit się nie kończy, ponieważ można go powiązać, aby radykalnie zwiększyć jego wpływ.
Ostatni ruch atakującego spowoduje również przerwanie bieżącej instalacji i dostęp do konta zostanie trwale zablokowany. W tym celu atakujący musi jedynie wysłać do WhatsApp wiadomość e-mail z prośbą do usługi o dezaktywację Twojego numeru telefonu. WhatsApp może wysłać automatyczną odpowiedź, prosząc atakującego o potwierdzenie numeru, a gdy to potwierdzi, WhatsApp automatycznie dezaktywuje Twoje konto bez Twojej wiedzy.
Twoja bieżąca instalacja WhatsApp nagle przestanie działać i zobaczysz następujące powiadomienie: „Twój numer telefonu nie jest już zarejestrowany w WhatsApp na tym telefonie. Może to być spowodowane zarejestrowaniem go na innym telefonie. Jeśli tego nie zrobiłeś, zweryfikuj swój numer telefonu, aby zalogować się ponownie na swoje konto." Teraz, gdy spróbujesz zweryfikować swój numer telefonu, zobaczysz licznik czasu zawieszenia „-1 sekund” i w ogóle nie będziesz mógł się zalogować.
Ponieważ ten atak nie jest skomplikowany, każda osoba mająca dostęp do Twojego numeru telefonu może z łatwością zablokować Ci dostęp do konta WhatsApp w ciągu kilku dni. Dlatego WhatsApp musi natychmiast rozwiązać ten rażący problem.
Komunikator został już powiadomiony o problemie. W odpowiedzi na ujawnienie informacji poinformował rzecznik WhatsApp Forbesa To „podanie adresu e-mail podczas weryfikacji dwuetapowej pomoże naszemu zespołowi obsługi klienta udzielić pomocy osobom, które kiedykolwiek napotkają ten mało prawdopodobny problem”. Fakt, że WhatsApp uważa ten problem za „mało prawdopodobny”, powinien być dla wielu użytkowników wystarczającym powodem do rezygnacji z usługi. Ponadto rzecznik dodał, że osoby próbujące wykorzystać exploit naruszą warunki korzystania z WhatsApp. Jakby to odstraszyło wszystkich hakerów i uniemożliwiło dowcipnisom wypróbowanie exploita na niczego niepodejrzewającym użytkowniku.
Nalegamy, aby nasi czytelnicy nie wykorzystywali tej luki nie dlatego, że naruszenie warunków korzystania z WhatsApp grozi więzieniem, ale dlatego, że jest to raczej gówniane zachowanie. Ponadto, jeśli w końcu jesteś gotowy, aby przejść na inną usługę, sprawdź nasze szczegółowy przewodnik na temat alternatyw WhatsApp który podkreśla wszystkie zalety i wady przejścia na inną platformę.