Исследователи безопасности обнаружили новую уязвимость WhatsApp, которая позволяет злоумышленникам легко заблокировать вам доступ к вашей учетной записи.
Исследователи безопасности обнаружили в WhatsApp новую уязвимость, которая может побудить больше пользователей выйти из службы обмена сообщениями, принадлежащей Facebook. Злоумышленники могут легко воспользоваться этой уязвимостью, чтобы заблокировать вас в вашей учетной записи WhatsApp на неопределенный срок, что делает это больше, чем просто незначительным неудобством для более чем 2 миллиардов пользователей мессенджера. Но это не самое худшее.
По мнению исследователей Луиса Маркеса Карпинтеро и Эрнесто Каналеса Перенья (с помощью Форбс), злоумышленникам не требуется никакого специального программного обеспечения или обучения для использования этой уязвимости. Им нужен только доступ к вашему номеру телефона. Как только они это получат, они смогут без особых усилий заблокировать вас из вашей учетной записи WhatsApp. И вот как это работает.
WhatsApp требует двухфакторной аутентификации каждый раз, когда вы входите в систему на новом устройстве. Для этого сервис отправляет на ваш номер телефона шестизначный код для проверки. Если вы несколько раз введете неправильный код, WhatsApp автоматически заблокирует вашу учетную запись на 12 часов.
Злоумышленники могут воспользоваться этой системой двухфакторной аутентификации, установив WhatsApp на новое устройство, введя ваш номер телефона и неоднократно вводя неправильный код. Хотя это не позволит вам войти в систему на новом устройстве в течение следующих 12 часов, это не повлияет на вашу текущую установку WhatsApp. Он продолжит работать так, как задумано.
Чтобы вы не могли входить в систему на новом устройстве на неопределенный срок, злоумышленнику достаточно трижды повторить вышеупомянутые действия. В третьем 12-часовом цикле таймер приостановки приложения сломается и вместо этого начнет показывать таймер «-1 секунда». Как только эта ошибка появится, WhatsApp вообще не позволит вам войти в систему на новом устройстве. Однако ваша текущая установка продолжит работать. Но на этом эксплойт не заканчивается, поскольку его можно использовать в цепочке действий, чтобы резко увеличить его воздействие.
Последний шаг злоумышленника также нарушит вашу текущую установку, и вы навсегда заблокируете свою учетную запись. Для этого злоумышленнику достаточно отправить электронное письмо в WhatsApp с просьбой деактивировать ваш номер телефона. WhatsApp может отправить автоматический ответ с просьбой к злоумышленнику подтвердить номер, и как только он подтвердит номер, WhatsApp автоматически деактивирует вашу учетную запись без вашего ведома.
Ваша текущая установка WhatsApp внезапно перестанет работать, и вы увидите следующее уведомление: «Ваш номер телефона больше не зарегистрирован в WhatsApp на этом телефоне. Возможно, это связано с тем, что вы зарегистрировали его на другом телефоне. Если вы этого не сделали, подтвердите свой номер телефона, чтобы снова войти в свою учетную запись». Теперь, когда вы попытаетесь подтвердить свой номер телефона, вы увидите таймер приостановки «-1 секунда» и вообще не сможете войти в систему.
Поскольку в этой атаке нет ничего сложного, любой, у кого есть доступ к вашему номеру телефона, может легко заблокировать вашу учетную запись WhatsApp в течение нескольких дней. Поэтому WhatsApp необходимо немедленно решить эту вопиющую проблему.
Мессенджер уже предупрежден о проблеме. В ответ на это сообщение представитель WhatsApp сообщил. Форбс что «Предоставление адреса электронной почты с двухэтапной проверкой помогает нашей команде обслуживания клиентов помогать людям, если они когда-либо сталкиваются с этой маловероятной проблемой». Тот факт, что WhatsApp считает это «маловероятной» проблемой, должен стать достаточной причиной для многих пользователей отказаться от сервиса. Вдобавок ко всему, представитель добавил, что те, кто попытается использовать эксплойт, нарушат условия обслуживания WhatsApp. Как будто это отпугнет всех хакеров и не позволит шутникам опробовать эксплойт на ничего не подозревающем пользователе.
Мы призываем наших читателей не использовать эту уязвимость не потому, что нарушение условий обслуживания WhatsApp приведет вас в тюрьму, а потому, что это довольно дерьмовый поступок. Кроме того, если вы наконец готовы перейти на другую услугу, ознакомьтесь с нашей подробное руководство по альтернативам WhatsApp это подчеркивает все плюсы и минусы перехода на другую платформу.