Napadalci so našli način, kako blokirati WhatsApp

kako obvešča Forbesovi napadalci so pripravili nov način, kako poslabšati življenje uporabnikov WhatsAppa. Vse, kar morate storiti, je vedeti svojo telefonsko številko - in tudi dvofaktorska overitev ne bo škodila.

Deluje takole. Napadalec namesti WhatsApp na svoj pametni telefon in vstopi vaš številko. Za avtorizacijo njegov sel zahteva kodo - do katere pride vaš telefona, vendar ga ignorirate, ker ga niste zahtevali in mislite, da gre za napako. Težava je v tem, da pridobivanje kode ni bil cilj.

Napadalec znova in znova vnaša naključne kode, ne da bi celo poskušal uganiti pravilno. Po nekaj neuspešnih poskusih sistem za 12 ur blokira pošiljanje novih kod. Tako vaš sel deluje dobro, vendar je pošiljanje avtorizacijskih kod začasno ustavljeno. Teoretično to ne bo problem, če vam v tem času ne bo treba ponovno preverjati.

Potem pa isti napadalec ustvari novo e-poštno sporočilo in tehnični podpori napiše, da je bila njegova telefonska številka [vaša številka] ukradena, ter prosi, da izklopi povezani račun. Tehnična podpora na noben način ne preveri, ali mu številka pripada, in deaktivira račun.

In šele na tej stopnji ima uporabnik težave: pojavi se sporočilo, da telefonska številka ni registrirana v WhatsApp. Pošljete lahko kodo za preverjanje, da se poskusite prijaviti v svoj račun. Toda sistem opozarja, da ste naredili preveč neuspešnih poskusov vnosa in morate počakati 12 ur. Vnos kod, ki ste jih prej prejeli, ne deluje.

Če ste pravkar postali žrtev slabe šale, lahko po 12 urah ponovno pridobite dostop. Vendar napadalec morda tehnični podpori ne bo poslal zahteve, temveč bo po poteku časovnika ponovil postopek zahteve za kode. Tretjič (torej po 24 urah od prvega napada) se sistem pokvari: časovnik ne prikaže 12 ur, temveč -1 sekundo - in to na obeh pametnih telefonih. Tega je nemogoče popraviti.

Če nato pošljete zahtevo tehnični podpori, se račun trajno deaktivira, ker je časovnik pokvarjen. To je najslabši možen razvoj dogodkov.

Kako je to mogoče?

Razlog je preprost: sel je v resnici vezan samo na telefonsko številko in ne primerja operacijskega sistema in identifikacijske številke naprave. Poleg tega uporabniki sami nimajo nobene zaščite pred zunanjimi osebami: če v sporočilu vnesete nekoga in če je račun povezan s to številko, bo prikazana. Ne morete omejiti vidnosti svojega računa.

Tako ni težko ugotoviti, kdo je registriran pri WhatsApp. Hkrati pa telefonske številke uporabnikov redno puščajo - tako kot v zadnjem času slive Facebook baze podatkov.

Obeh težav ni težko odpraviti: dovolj je, da uporabnikom omogočimo, da svoj račun skrijejo pred iskanjem in dodajanjem način identifikacije pri vstopu iz nove naprave: potrdite jo na primer prek že pooblaščene v sistemu pripomoček.

Kaj če poskusijo blokirati račun?

Predstavniki WhatsApp so dejali, da se morajo žrtve takšnih napadov obrniti na tehnično podporo: takšna dejanja so v nasprotju s pravili za uporabo platforme. To je vredno storiti takoj, ko opazite SMS z dostopnimi kodami WhatsApp, ki ga niste zahtevali.

Svetovali so tudi, da e-pošto povežete z vašim računom, da boste lažje obnovili dostop. Ni bilo izjav o povečanju varnosti, tako da zunanji uporabnik ne bi mogel blokirati vašega messengerja.