Дослідники в сфері інформаційної безпеки виявили нову уразливість в WhatsApp. На їхню думку, проблема настільки серйозна, що може спонукати багатьох користувачів назавжди відмовитися від використання цього месенджера. Справа в тому, що за допомогою даної уразливості зловмисники можуть назавжди заблокувати обліковий запис WhatsApp.
За словами дослідників Луїса Маркеса Карпінтерія і Ернесто Каналеса перенісши, зловмисникам навіть не потрібно якесь специфічне програмне забезпечення або навички для використання вразливості. Їм достатньо тільки знати номер телефону користувача. Надалі вони без особливих зусиль можуть заблокувати користувача від доступу до його облікового запису WhatsApp.
При спробі авторизації на новому пристрої WhatsApp вимагає проходження двофакторної аутентифікації. Для перевірки на телефонний номер користувача відправляється 6-значний код. Якщо кілька разів неправильно ввести код перевірки на новому пристрої, відбувається автоматична зупинка облікового запису на 12 годин. Таким чином, зловмиснику досить знати номер телефону жертви, встановити додаток WhatsApp на новому пристрої, ввести номер і послідовно вводити неправильні коди. Це заблокує можливість входу на новий пристрій на 12 годин, але не вплине на можливість використання програми на існуючому устрої легального користувача.
Якщо ж повторити таку процедуру 3 рази, то після третьої спроби відбувається збій в роботі таймера припинення облікового запису в додатку. Замість чергових 12 годин він вже буде показувати -1 секунду. І після цього WhatsApp повністю блокує можливість входу на новий пристрій. На старому пристрої робота продовжиться в звичайному режимі. Але це ще не все.
Фінальний етап атаки дозволяє зловмисникові повністю заблокувати обліковий запис користувача навіть у старому пристрої. Для цього зловмисникові потрібно направити в WhatsApp електронний запит з проханням деактивувати телефонний номер. У відповідь на це сервіс відправить автоматичний відповідь зловмисникові із запитом на підтвердження телефонного номера, який того вже відомий. А після підтвердження телефонного номера WhatsApp автоматично видалить обліковий запис користувача. Саме ж користувач при цьому побачить повідомлення «Ваш номер телефону більше не зареєстрований в WhatsApp на цьому телефоні. Це може бути пов’язано з тим, що ви зареєстрували його на іншому телефоні. Якщо ви цього не зробили, підтвердіть свій номер телефону, щоб знову увійти в свій обліковий запис ». Але після цього, при спробі підтвердити свій номер, користувач побачить лише таймер припинення з відображенням -1 секунди. І авторизуватися більше не вийде.
Leave a Comment