Истраживачи безбедности су пронашли нову рањивост ВхатсАпп-а која омогућава нападачима да вам лако закључају налог.
Истраживачи безбедности пронашли су нову рањивост у ВхатсАпп-у која би могла да подстакне већи број корисника на то напустити сервис за размену порука у власништву Фејсбука. Злонамерни актери могу лако да искористе ову рањивост да би вас закључали са вашег ВхатсАпп налога на неодређено време, што га чини више од мале непријатности за више од 2 милијарде корисника месинџера. Али то није најгори део.
Према истраживачима Луису Маркесу Карпинтеру и Ернесту Каналесу Перењи (преко Форбес), нападачима није потребан никакав посебан софтвер или обука да би искористили ову рањивост. Треба им само приступ вашем броју телефона. Када то имају, могу да вас закључају са вашег ВхатсАпп налога без много труда. А ево како то функционише.
ВхатсАпп захтева двофакторну аутентификацију сваки пут када се пријавите на новом уређају. За ово, сервис шаље шестоцифрени код на ваш број телефона ради верификације. У случају да унесете погрешан код неколико пута, ВхатсАпп аутоматски суспендује ваш налог на 12 сати.
Нападачи могу да искористе овај двофакторски систем аутентификације тако што ће инсталирати ВхатсАпп на нови уређај, унети ваш број телефона и више пута уносити погрешан код. Иако ће вас ово спречити да се пријавите на новом уређају у наредних 12 сати, то неће утицати на вашу тренутну инсталацију ВхатсАпп-а. Наставиће да ради како је предвиђено.
Да би вас спречио да се пријавите на нови уређај на неодређено време, нападач треба само три пута да понови горе поменуте кораке. У трећем 12-сатном циклусу, тајмер за суспензију апликације ће се покварити и уместо тога ће почети да приказује тајмер „-1 секунди“. Када се појави та грешка, ВхатсАпп вам уопште неће дозволити да се пријавите на новом уређају. Међутим, ваша тренутна инсталација ће наставити да ради. Али експлоатација се ту не завршава, јер се може везати напред да би се драстично повећао његов утицај.
Последњи потез нападача ће прекинути и вашу тренутну инсталацију, а ви ћете бити трајно закључани са свог налога. За ово, све што нападач треба да уради је да пошаље ВхатсАпп е-поруку са молбом да услуга деактивира ваш број телефона. ВхатсАпп може послати аутоматски одговор тражећи од нападача да потврди број, а када потврде, ВхатсАпп ће аутоматски деактивирати ваш налог без вашег знања.
Ваша тренутна инсталација ВхатсАпп-а ће тада изненада престати да ради и видећете следеће обавештење: „Ваш број телефона више није регистрован у ВхатсАпп-у на овом телефону. Ово може бити зато што сте га регистровали на другом телефону. Ако то нисте урадили, потврдите свој број телефона да бисте се поново пријавили на свој налог." Сада, када покушате да верификујете свој број телефона, видећете тајмер за суспензију „-1 секунди“ и нећете моћи да се пријавите уопште.
Пошто овај напад није софистициран, свако ко има приступ вашем броју телефона може лако да вас закључа са вашег ВхатсАпп налога за неколико дана. Стога, ВхатсАпп мора одмах да реши овај очигледан проблем.
Мессенгер је већ упозорен на проблем. Као одговор на обелодањивање, рекао је портпарол ВхатсАпп-а Форбес то „обезбеђивање адресе е-поште са вашом верификацијом у два корака помаже људима који помажу нашим тимовима за корисничку подршку ако се икада сусрећу са овим мало вероватним проблемом.“ Чињеница да ВхатсАпп сматра да је ово „мало вероватан“ проблем требало би да буде довољан разлог да се многи корисници удаље од услуге. Поврх тога, портпарол је додао да би они који покушавају да експлоатишу прекршили услове коришћења услуге ВхатсАпп. Као да ће то уплашити све хакере и спречити шаљивџије да испробају експлоатацију на кориснику који ништа не сумња.
Позивамо наше читаоце да не искористе ову рањивост, не зато што ће вас кршење услова коришћења услуге ВхатсАпп довести у затвор, већ зато што је то прилично усрана ствар. Такође, ако сте коначно спремни да пређете на другу услугу, погледајте нашу детаљан водич о алтернативама ВхатсАпп-а то наглашава све предности и недостатке преласка на другу платформу.