Ваш аккаунт WhatsApp может быть заблокирован любым, у кого есть ваш номер телефона.


Если вы часто пользуетесь WhatsApp, возможно, вам стоит обратить внимание на тревожную дыру, обнаруженную в его системе безопасности в эти выходные. Злоумышленник может полностью заблокировать вашу учетную запись WhatsApp, не обращаясь за помощью к конкретному пользователю, и все, что им нужно, – это ваш номер телефона. На момент написания этой проблемы нет решения.

Этот недавно обнаруженный недостаток использует два разных вектора. Злоумышленник устанавливает WhatsApp на новое устройство и вводит ваш номер, чтобы активировать чат. Они не могут это проверить, потому что, конечно, система двухфакторной аутентификации вместо этого отправляет запросы на вход на ваш телефон. После нескольких повторных и неудачных попыток ваш логин заблокирован на 12 часов.

Здесь возникает сложность: когда ваша учетная запись заблокирована, злоумышленник отправляет сообщение поддержки в WhatsApp со своего адреса электронной почты, утверждая, что их (ваш) телефон был потерян или украден, и что учетная запись, связанная с вашим номером, должна быть деактивировано. WhatsApp «подтверждает» это ответным электронным письмом и приостанавливает действие вашей учетной записи без каких-либо действий с вашей стороны. Злоумышленник может повторить процесс несколько раз подряд, чтобы создать полупостоянную блокировку вашей учетной записи.

Демонстрация полупостоянной блокировки учетной записи WhatsApp. Изображение предоставлено: Forbes

Атака является подтверждением концепции пары исследователей безопасности, Луиса Маркеса Карпинтеро и Эрнесто Каналеса Перенья, и была впервые сообщил Forbes. Результаты вызывают беспокойство, но, по крайней мере, этот метод нельзя использовать для фактического получения доступа к учетной записи, а просто для блокировки доступа ее законного владельца. Конфиденциальные текстовые сообщения и контакты не раскрываются.

Нет никаких указаний на то, что этот метод используется в дикой природе. Но когда его попросили прокомментировать, WhatsApp уклонился и не указал, что он работает над устранением бреши в своей безопасности. Представитель сказал, что предоставление адреса электронной почты с вашими учетными данными для двухфакторной аутентификации может помочь избежать этого гипотетического сценария, но это по-прежнему возлагает ответственность на WhatsApp за фактическое следование своим собственным передовым методам.

WhatsApp, принадлежащий Facebook, предупреждает, что использование этой уязвимости нарушает его условия обслуживания. Это не сильно сдерживает, так как это можно сделать анонимно с любого мобильного устройства и с помощью одноразовой электронной почты. По мнению сотрудника полиции Android, возможно, «это будет исправлено, если кто-то сделает это с номером Цукерберга, который был недавно просочился в дамп аккаунта Facebook«Похоже, что проблемы с безопасностью и менее чем удовлетворительный ответ на них будут и дальше оставаться проблемой в растущей корпоративной империи Facebook.

Leave a Reply

Your email address will not be published. Required fields are marked *