Výskumníci v oblasti bezpečnosti našli novú zraniteľnosť WhatsApp, ktorá umožňuje útočníkom jednoducho vám zablokovať váš účet.
Výskumníci v oblasti bezpečnosti našli v WhatsApp novú zraniteľnosť, ktorá môže podnietiť viac používateľov ukončite službu správ vo vlastníctve Facebooku. Zlomyseľní herci môžu túto zraniteľnosť ľahko zneužiť na to, aby vám na neurčito zablokovali prístup k vášmu účtu WhatsApp, čo pre viac ako 2 miliardy používateľov messengeru znamená viac než len malé nepohodlie. Ale to nie je to najhoršie.
Podľa výskumníkov Luis Márquez Carpintero a Ernesto Canales Pereña (cez Forbes), útočníci nepotrebujú na zneužitie tejto zraniteľnosti žiadny špeciálny softvér ani školenie. Potrebujú iba prístup k vášmu telefónnemu číslu. Akonáhle to budú mať, môžu vás bez veľkého úsilia zablokovať z vášho účtu WhatsApp. A takto to funguje.
WhatsApp vyžaduje dvojfaktorové overenie vždy, keď sa prihlásite na novom zariadení. Na tento účel služba odošle na vaše telefónne číslo šesťmiestny kód na overenie. V prípade, že niekoľkokrát zadáte nesprávny kód, WhatsApp automaticky pozastaví váš účet na 12 hodín.
Útočníci môžu využiť tento dvojfaktorový autentifikačný systém nainštalovaním WhatsApp na nové zariadenie, zadaním vášho telefónneho čísla a opakovaným zadaním nesprávneho kódu. Aj keď vám to zabráni prihlásiť sa na novom zariadení počas nasledujúcich 12 hodín, neovplyvní to vašu aktuálnu inštaláciu WhatsApp. Bude to fungovať podľa plánu.
Aby ste zabránili prihlasovaniu na novom zariadení donekonečna, útočníkovi stačí zopakovať vyššie uvedené kroky trikrát. V treťom 12-hodinovom cykle sa časovač pozastavenia aplikácie preruší a namiesto toho začne zobrazovať časovač „-1 sekundy“. Keď sa táto chyba objaví, WhatsApp vám vôbec nedovolí prihlásiť sa na novom zariadení. Vaša aktuálna inštalácia však bude naďalej fungovať. Tým sa však využitie nekončí, pretože ho možno pripútať dopredu, aby sa výrazne zvýšil jeho vplyv.
Posledný krok útočníka preruší aj vašu aktuálnu inštaláciu a vy budete natrvalo zablokovaný vo svojom účte. Na to stačí, aby útočník poslal WhatsApp e-mail so žiadosťou o deaktiváciu vášho telefónneho čísla. WhatsApp môže poslať automatickú odpoveď so žiadosťou o potvrdenie čísla od útočníka, a keď to potvrdí, WhatsApp automaticky deaktivuje váš účet bez vášho vedomia.
Vaša aktuálna inštalácia WhatsApp potom náhle prestane fungovať a zobrazí sa nasledujúce upozornenie: „Vaše telefónne číslo už nie je v tomto telefóne zaregistrované v WhatsApp. Môže to byť spôsobené tým, že ste ho zaregistrovali na inom telefóne. Ak ste to neurobili, overte svoje telefónne číslo a prihláste sa späť do svojho účtu.“ Teraz, keď sa pokúsite overiť svoje telefónne číslo, uvidíte časovač pozastavenia „-1 sekundy“ a nebudete sa môcť vôbec prihlásiť.
Keďže tento útok nie je nijako sofistikovaný, každý, kto má prístup k vášmu telefónnemu číslu, vás môže v priebehu niekoľkých dní jednoducho uzamknúť z vášho účtu WhatsApp. WhatsApp preto musí okamžite riešiť tento do očí bijúci problém.
Posol už bol na problém upozornený. V reakcii na zverejnenie povedal hovorca WhatsApp Forbes že "poskytnutie e-mailovej adresy s verifikáciou v dvoch krokoch pomôže nášmu tímu služieb zákazníkom pomôcť ľuďom, ak by sa niekedy stretli s týmto nepravdepodobným problémom." Skutočnosť, že WhatsApp to považuje za „nepravdepodobný“ problém, by mala byť pre mnohých používateľov dostatočným dôvodom na to, aby od tejto služby odišli. Okrem toho hovorca dodal, že tí, ktorí sa pokúsia o zneužitie, by porušili podmienky služby WhatsApp. Akoby to odstrašilo všetkých hackerov a zabránilo vtipkárom vyskúšať exploit na nič netušiaceho používateľa.
Vyzývame našich čitateľov, aby túto zraniteľnosť nezneužívali, nie preto, že by vás porušenie zmluvných podmienok WhatsApp dostalo do väzenia, ale preto, že je to dosť nanič. Ak ste konečne pripravení prejsť na inú službu, pozrite si našu hĺbkový sprievodca alternatívami WhatsApp ktorý poukazuje na všetky výhody a nevýhody prechodu na inú platformu.