Varnostni raziskovalci so odkrili novo ranljivost WhatsApp, ki napadalcem omogoča, da vas zlahka zaklenejo iz vašega računa.
Varnostni raziskovalci so v aplikaciji WhatsApp odkrili novo ranljivost, ki bi lahko spodbudila več uporabnikov zapustite storitev za sporočanje v lasti Facebooka. Zlonamerni akterji lahko zlahka izkoristijo to ranljivost, da vas za nedoločen čas zaklenejo iz vašega računa WhatsApp, zaradi česar je to več kot le manjša nevšečnost za več kot 2 milijardi uporabnikov sporočila. Ampak to ni najhujši del.
Po mnenju raziskovalcev Luis Márquez Carpintero in Ernesto Canales Pereña (prek Forbes), napadalci ne potrebujejo posebne programske opreme ali usposabljanja za izkoriščanje te ranljivosti. Potrebujejo samo dostop do vaše telefonske številke. Ko imajo to, vas lahko brez posebnega truda zaklenejo iz vašega računa WhatsApp. In tukaj je, kako to deluje.
WhatsApp zahteva dvostopenjsko avtentikacijo vsakič, ko se prijavite v novo napravo. Za to storitev pošlje šestmestno kodo na vašo telefonsko številko za preverjanje. Če večkrat vnesete napačno kodo, WhatsApp samodejno blokira vaš račun za 12 ur.
Napadalci lahko izkoristijo ta sistem dvofaktorske avtentikacije tako, da namestijo WhatsApp na novo napravo, vnesejo vašo telefonsko številko in večkrat vnesejo napačno kodo. Čeprav vam bo to preprečilo prijavo v novo napravo v naslednjih 12 urah, to ne bo vplivalo na vašo trenutno namestitev WhatsApp. Še naprej bo delovalo, kot je predvideno.
Da bi vam preprečil prijavo v novo napravo za nedoločen čas, mora napadalec le trikrat ponoviti omenjene korake. V tretjem 12-urnem ciklu se časovnik za prekinitev aplikacije prekine in namesto tega začne prikazovati merilnik časa »-1 sekunde«. Ko se pojavi ta napaka, vam WhatsApp sploh ne dovoli prijave v novo napravo. Vendar bo vaša trenutna namestitev še naprej delovala. Toda izkoriščanje se tu ne konča, saj ga je mogoče prikleniti naprej in drastično povečati njegov učinek.
Zadnja poteza napadalca bo pokvarila tudi vašo trenutno namestitev in trajno boste zaklenjeni iz svojega računa. Za to mora napadalec poslati WhatsApp e-poštno sporočilo, v katerem zahteva, da storitev deaktivira vašo telefonsko številko. WhatsApp lahko pošlje samodejni odgovor in prosi napadalca, naj potrdi številko, in ko potrdi, bo WhatsApp samodejno deaktiviral vaš račun brez vaše vednosti.
Vaša trenutna namestitev WhatsApp bo nato nenadoma prenehala delovati in videli boste naslednje obvestilo: »Vaša telefonska številka ni več registrirana pri WhatsApp na tem telefonu. To je morda zato, ker ste ga registrirali na drugem telefonu. Če tega niste storili, potrdite svojo telefonsko številko, da se znova prijavite v svoj račun." Zdaj, ko poskušate potrditi svojo telefonsko številko, boste videli časovnik za prekinitev »-1 sekund« in sploh se ne boste mogli prijaviti.
Ker ta napad ni prefinjen, vas lahko vsak, ki ima dostop do vaše telefonske številke, zlahka zaklene iz vašega računa WhatsApp v nekaj dneh. Zato mora WhatsApp takoj obravnavati to očitno težavo.
Messenger je bil že obveščen o težavi. V odgovor na razkritje je tiskovni predstavnik WhatsApp povedal Forbes to "če navedete e-poštni naslov z dvostopenjskim preverjanjem, pomagate naši ekipi za pomoč strankam pomagati ljudem, če se kdaj srečajo s to malo verjetno težavo." Dejstvo, da WhatsApp meni, da je to "malo verjetna" težava, bi moralo biti zadosten razlog za mnoge uporabnike, da se odmaknejo od storitve. Poleg tega je tiskovni predstavnik dodal, da bi tisti, ki poskušajo izkoristiti, kršili pogoje storitve WhatsApp. Kot da bo to prestrašilo vse hekerje in preprečilo šaljivcem, da bi izkoriščanje poskusili na nič hudega slutečem uporabniku.
Naše bralce pozivamo, naj ne izkoriščajo te ranljivosti, ne zato, ker boste s kršitvijo pogojev storitve WhatsApp pristali v zaporu, temveč zato, ker je to precej usrano početje. Če ste končno pripravljeni preklopiti na drugo storitev, si oglejte našo poglobljen vodnik o alternativah WhatsApp ki poudarja vse prednosti in slabosti prehoda na drugo platformo.