Дослідники безпеки знайшли нову вразливість WhatsApp, яка дозволяє зловмисникам легко заблокувати ваш обліковий запис.
Дослідники безпеки знайшли нову вразливість у WhatsApp, яка може спонукати до цього більше користувачів вийти зі служби обміну повідомленнями, що належить Facebook. Зловмисники можуть легко використати цю вразливість, щоб заблокувати ваш обліковий запис WhatsApp на невизначений термін, що робить це не просто незначною незручністю для понад 2 мільярдів користувачів месенджера. Але це ще не найстрашніше.
За словами дослідників Луїса Маркеса Карпінтеро та Ернесто Каналеса Переньї (через Forbes), зловмисникам не потрібне спеціальне програмне забезпечення чи навчання для використання цієї вразливості. Їм потрібен лише доступ до вашого номера телефону. Отримавши це, вони можуть без особливих зусиль заблокувати ваш обліковий запис WhatsApp. І ось як це працює.
WhatsApp вимагає двофакторної автентифікації кожного разу, коли ви входите на новому пристрої. Для цього сервіс надсилає на ваш номер телефону шестизначний код для перевірки. Якщо ви кілька разів введете неправильний код, WhatsApp автоматично призупинить ваш обліковий запис на 12 годин.
Зловмисники можуть скористатися цією двофакторною системою автентифікації, встановивши WhatsApp на новий пристрій, ввівши ваш номер телефону та кілька разів ввівши неправильний код. Хоча це не дозволить вам увійти на новому пристрої протягом наступних 12 годин, це не вплине на вашу поточну інсталяцію WhatsApp. Він продовжуватиме працювати за призначенням.
Щоб запобігти входу на новому пристрої на невизначений термін, зловмиснику потрібно лише тричі повторити вищезазначені дії. Під час третього 12-годинного циклу таймер призупинення програми вийде з ладу та натомість почне показувати таймер "-1 секунда". Щойно ця помилка з’явиться, WhatsApp взагалі не дозволить вам увійти на новому пристрої. Однак ваша поточна інсталяція продовжуватиме працювати. Але експлойт на цьому не закінчується, оскільки його можна прив’язати вперед, щоб різко збільшити його вплив.
Останній хід зловмисника також порушить вашу поточну інсталяцію, і ви назавжди заблокуєте свій обліковий запис. Для цього все, що зловмисник повинен зробити, це надіслати WhatsApp електронний лист із проханням деактивувати ваш номер телефону. WhatsApp може надіслати автоматичну відповідь з проханням зловмисника підтвердити номер, і після підтвердження WhatsApp автоматично деактивує ваш обліковий запис без вашого відома.
Ваша поточна інсталяція WhatsApp раптово перестане працювати, і ви побачите таке сповіщення: «Ваш номер телефону більше не зареєстрований у WhatsApp на цьому телефоні. Можливо, ви зареєстрували його на іншому телефоні. Якщо ви цього не робили, підтвердьте свій номер телефону, щоб знову увійти у свій обліковий запис». Тепер, коли ви намагаєтеся підтвердити свій номер телефону, ви побачите таймер призупинення «-1 секунда», і ви взагалі не зможете увійти.
Оскільки в цій атаці немає складності, кожен, хто має доступ до вашого номера телефону, може легко заблокувати ваш обліковий запис WhatsApp за кілька днів. Тому WhatsApp має негайно вирішити цю кричущу проблему.
Месенджер вже попереджений про проблему. У відповідь на цю інформацію представник WhatsApp заявив Forbes що «Надання адреси електронної пошти з вашою двоетапною перевіркою допомагає нашій команді обслуговування клієнтів допомагати людям, якщо вони колись зіткнуться з цією малоймовірною проблемою». Той факт, що WhatsApp вважає це «малоймовірною» проблемою, повинен бути достатньою причиною для багатьох користувачів відмовитися від служби. Крім того, прес-секретар додав, що спроби використання порушують умови обслуговування WhatsApp. Ніби це відлякає всіх хакерів і не дозволить пранкерам спробувати експлойт на нічого не підозрюючому користувачеві.
Ми закликаємо наших читачів не використовувати цю вразливість не тому, що порушення умов використання WhatsApp призведе до в’язниці, а тому, що це досить лайнова річ. Крім того, якщо ви нарешті готові перейти на інший сервіс, перегляньте наш поглиблений посібник щодо альтернатив WhatsApp який висвітлює всі плюси та мінуси переходу на іншу платформу.