Säkerhetsforskare har hittat en ny WhatsApp-sårbarhet som gör att angripare enkelt kan låsa dig ute från ditt konto.
Säkerhetsforskare har hittat en ny sårbarhet i WhatsApp som kan få fler användare att göra det avsluta den Facebook-ägda meddelandetjänsten. Skadliga aktörer kan enkelt utnyttja denna sårbarhet för att låsa dig ute från ditt WhatsApp-konto på obestämd tid, vilket gör det till mer än bara ett mindre besvär för budbärarens 2 miljarder+ användare. Men det är inte det värsta.
Enligt forskarna Luis Márquez Carpintero och Ernesto Canales Pereña (via Forbes), kräver angripare ingen speciell programvara eller utbildning för att utnyttja denna sårbarhet. De behöver bara tillgång till ditt telefonnummer. När de väl har det kan de låsa ut dig från ditt WhatsApp-konto utan större ansträngning. Och så här fungerar det.
WhatsApp kräver tvåfaktorsautentisering när du loggar in på en ny enhet. För detta skickar tjänsten en sexsiffrig kod till ditt telefonnummer för verifiering. Om du anger fel kod flera gånger stänger WhatsApp av ditt konto automatiskt i 12 timmar.
Angripare kan utnyttja detta tvåfaktorsautentiseringssystem genom att installera WhatsApp på en ny enhet, ange ditt telefonnummer och upprepade gånger ange fel kod. Även om detta kommer att hindra dig från att logga in på en ny enhet under de kommande 12 timmarna, kommer det inte att påverka din nuvarande WhatsApp-installation. Det kommer att fortsätta fungera som det är tänkt.
För att hindra dig från att logga in på en ny enhet på obestämd tid behöver en angripare bara upprepa de ovannämnda stegen tre gånger. På den tredje 12-timmarscykeln kommer appens avstängningstimer att gå sönder och börja visa en "-1 sekunders" timer istället. När den buggen dyker upp låter WhatsApp dig inte logga in på en ny enhet alls. Din nuvarande installation kommer dock att fortsätta att fungera. Men exploateringen slutar inte där, eftersom den kan kedjas fram för att drastiskt öka dess inverkan.
Angriparens sista drag kommer också att bryta din nuvarande installation, och du kommer att låsas ute från ditt konto permanent. För detta behöver angriparen bara skicka ett e-postmeddelande till WhatsApp och ber tjänsten att inaktivera ditt telefonnummer. WhatsApp kan skicka ett automatiskt svar och be angriparen att bekräfta numret, och när de bekräftar kommer WhatsApp automatiskt att inaktivera ditt konto utan din vetskap.
Din nuvarande WhatsApp-installation kommer då att sluta fungera plötsligt och du kommer att se följande meddelande: "Ditt telefonnummer är inte längre registrerat med WhatsApp på den här telefonen. Det kan bero på att du registrerade det på en annan telefon. Om du inte gjorde detta, verifiera ditt telefonnummer för att logga in på ditt konto igen." Nu, när du försöker verifiera ditt telefonnummer, kommer du att se "-1 sekunder" avstängningstimern och du kommer inte att kunna logga in alls.
Eftersom det inte finns någon sofistikering i denna attack kan alla som har tillgång till ditt telefonnummer enkelt låsa dig från ditt WhatsApp-konto inom några dagar. Därför måste WhatsApp ta itu med detta uppenbara problem omedelbart.
Budbäraren har redan blivit varnad om problemet. Som svar på avslöjandet, berättade en talesperson för WhatsApp Forbes den där "Att tillhandahålla en e-postadress med din tvåstegsverifiering hjälper vårt kundtjänstteam att hjälpa människor om de någonsin skulle stöta på detta osannolika problem." Det faktum att WhatsApp anser att detta är ett "osannolikt" problem borde vara skäl nog för många användare att gå bort från tjänsten. Utöver det tillade talesmannen att de som försökte utnyttja detta skulle bryta mot WhatsApps användarvillkor. Som om det skulle skrämma bort alla hackare och förhindra skojare från att försöka utnyttja en intet ont anande användare.
Vi uppmanar våra läsare att inte utnyttja denna sårbarhet, inte för att bryta mot WhatsApps användarvillkor kommer att hamna i fängelse, utan för att det är en ganska taskig sak att göra. Om du äntligen är redo att byta till en annan tjänst, kolla in vår djupgående guide om WhatsApp-alternativ som belyser alla fördelar och nackdelar med att byta till en annan plattform.