Unikalna i niepokojąca luka w zabezpieczeniach WhatsApp pozwala każdemu zablokować Twoje konto w tej usłudze, o ile zna Twój numer telefonu.
Problemem nie jest wewnętrzna luka w kodzie WhatsApp, ale niepokojący błąd w sposobie, w jaki usługa blokuje konta. Osoba atakująca nie przeczyta Twoich wiadomości, ale pozostawi Cię bez dostępu do popularnej aplikacji do przesyłania wiadomości, a Ty nie będziesz wiedział, co się stało.
Problem w WhatsApp, który może powodować wiele bólów głowy
Mechanizm jest prosty. Atakujący instaluje WhatsApp na nowym telefonie komórkowym i wprowadza Twój numer, aby aktywować usługę. Nie mogą tego zweryfikować, ponieważ ten klucz dociera do Twojego numeru telefonu.
Ponieważ użył Twojego numeru telefonu, wprowadza kilka losowych kluczy weryfikacyjnych, które się nie powiodły i po kilku próbach aplikacja nie pozwala atakującemu na wprowadzenie nowych sześciocyfrowych kodów w celu zweryfikowania tego konta przez 12 godzin.
Dla ofiary na razie wszystko będzie nadal działać, ale tutaj pojawia się interesująca część: gdy to konto zostanie zablokowane, atakujący wysyła wiadomość e-mail (z jednorazowego adresu, na przykład nowego konta Gmail) do WhatsApp adres wsparcia. W tej wiadomości wystarczy, że poinformujesz ich, że Twój telefon komórkowy został skradziony lub zgubiony i usługa wymaga wyłączenia.
Jedyne, co robi tutaj WhatsApp, to wierzyć, że tożsamość atakującego jest legalna w zautomatyzowanym procesie, który nie wymaga dalszych działań, usługa po prostu bierze to za pewnik, a proces kończy się z osiągnięciem celu: Twoje konto WhatsApp zostaje zawieszone bez dalszych działań. Osoba atakująca może powtórzyć ten proces kilka razy, aby normalne korzystanie z aplikacji było prawie niemożliwe.
Ta luka w zabezpieczeniach może spowodować zablokowanie Twojego konta
Musisz zaczekać do końca 12-godzinnego okresu zainicjowanego przez atakującego w wyniku niepowodzenia kodu weryfikacyjnego. Od tego momentu możesz ponownie aktywować konto, ale będziesz musiał próbować dalej, nie wiedząc, kiedy minęło te 12 godzin.
Mimo że ta luka w zabezpieczeniach nie daje dostępu do naszych wiadomości lub kontaktów, każdy atakujący z naszym numerem telefonu może przysporzyć nam wielu niedogodności. Wydaje się, że menedżerowie WhatsApp i Facebooka w tej chwili nie rozważają możliwego rozwiązania.