Útočníci našli spôsob blokovania WhatsApp
Rôzne / / April 12, 2021
Je to kvôli dvom zraniteľnostiam v bezpečnostnom systéme posla naraz.
ako informuje Kybernetickí zločinci Forbes prišli s novým spôsobom, ako zhoršiť život používateľom WhatsApp. Musíte len poznať svoje telefónne číslo - a ani dvojfaktorová autentifikácia neublíži.
Funguje to takto. Útočník si nainštaluje WhatsApp na svoj smartphone a vstúpi tvoj číslo. Jeho posol žiada o autorizáciu kód, ku ktorému dôjde tvoj telefón, ale ignorujete ho, pretože ste oň nežiadali a myslíte si, že je to omyl. Problém je v tom, že získanie kódu nebolo cieľom.
Útočník zadáva náhodné kódy znova a znova, bez toho, aby sa pokúsil uhádnuť správny. Po niekoľkých neúspešných pokusoch systém zablokuje zasielanie nových kódov na 12 hodín. Váš posol teda funguje dobre, ale odosielanie autorizačných kódov je pozastavené. Teoreticky to nebude problém, ak v tomto období nemusíte znova prechádzať overovaním.
Potom však ten istý útočník vytvorí nový e-mail, napíše technickej podpore, že mu bolo ukradnuté telefónne číslo [vaše číslo], a požiada o deaktiváciu príslušného účtu. Technická podpora nijako nekontroluje, či mu číslo patrí, a deaktivuje účet.
A až v tejto fáze začne mať používateľ problémy: zobrazí sa správa, že telefónne číslo nie je zaregistrované v aplikácii WhatsApp. Môžete sa pokúsiť prihlásiť do svojho účtu odoslaním overovacieho kódu. Systém ale varuje, že ste vykonali príliš veľa neúspešných pokusov o zadanie, a musíte počkať 12 hodín. Zadávanie kódov, ktoré ste dostali skôr, nefunguje.
Ak ste sa práve stali obeťou zlého vtipu, môžete po 12 hodinách znova získať prístup. Útočník však nemusí poslať požiadavku technickej podpore, ale namiesto toho zopakuje proces vyžiadania kódov po uplynutí časovača. Tretíkrát (to znamená po 24 hodinách od prvého útoku) sa systém pokazí: časovač zobrazuje nie 12 hodín, ale -1 sekundu - a na oboch smartfónoch. Je nemožné to napraviť.
Ak potom pošlete žiadosť technickej podpore, účet sa natrvalo deaktivuje, pretože je poškodený časovač. Toto je najhorší možný vývoj udalostí.
Ako je to možné?
Dôvod je jednoduchý: posol je v skutočnosti viazaný iba na telefónne číslo a neporovnáva operačný systém a identifikačné číslo zariadenia. Samotní používatelia navyše nemajú žiadnu ochranu pred cudzími ľuďmi: ak v messengeri zadáte niekoho číslo a s týmto číslom je prepojený účet, zobrazí sa. Viditeľnosť vášho účtu nemôžete obmedziť.
Nie je teda ťažké zistiť, kto je zaregistrovaný v aplikácii WhatsApp. Zároveň dochádza k pravidelnému úniku telefónnych čísel používateľov - napríklad k nedávnemu masívnemu nárastu slivka Facebookové databázy.
Nie je ťažké opraviť obidva problémy: stačí dať používateľom možnosť skryť svoj účet pred hľadaním a pridaním spôsob identifikácie pri zadávaní z nového zariadenia: napríklad ho potvrďte prostredníctvom už autorizovaného zariadenia v systéme gadget.
Čo ak sa pokúsia zablokovať účet?
Zástupcovia spoločnosti WhatsApp uviedli, že obete takýchto útokov by sa mali obrátiť na technickú podporu: takéto kroky sú v rozpore s pravidlami používania platformy. Stojí to za to, hneď ako si všimnete SMS s prístupovými kódmi WhatsApp, o ktoré ste nepožiadali.
Odporúčali tiež prepojiť e-mail s účtom, aby sa uľahčilo obnovenie prístupu. Neboli vyhlásenia o zvýšení bezpečnosti, aby outsider nemohol blokovať vášho posla.
Prečítajte si tiež🧐
- 10 užitočných tipov pre každého používateľa WhatsApp
- Strašidelné správy prerušujú WhatsApp. Buď opatrný
- WhatsApp zakáže správy od používateľov, ktorí neprijmú nové pravidlá ochrany osobných údajov
Na webe sa diskutuje o veciach, ktoré by nemali existovať. Tu je 15 príkladov