Исследователи в области сетевых угроз Луис Маркес Карпентеро и Эрнесто Каналес Перенья нашли уязвимость, которая позволяет заблокировать любого пользователя WhatsApp, просто зная его номер телефона. Но, как отмечает Naked science, это проблема не только самого приложения, но всей системы поддержки пользователей Facebook.
Большинство запросов обрабатываются автоматически, а чтобы добиться ответа человека, необходимо потрудиться. Этим и могут воспользоваться злоумышленники.
При смене устройства, на котором используется WhatsApp пользователь должен ввести шестизначный код. Комбинация цифр приходит в виде SMS на зарегистрированный номер. Но этот номер не обязательно должен совпадать с тем, который зарегистрирован на SIM-карте устройства. На самом деле это может быть планшет без модуля сетевой связи. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.
На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.
Запрос будет обработан автоматически, аккаунт временно заблокируют. Пользователь же получит сообщение о необходимости снова войти в аккаунт с помощью SMS-кода, который он не сможет получить, поскольку все еще действует блокировка на их отправку.
Жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. Но на переписку с Facebook может уйти несколько дней. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.
Способов защититься от такой атаки нет, не спасает даже двухфакторная аутентификация, поскольку она работает после ввода одноразовых кодов, которые приходят по SMS. Блокировка учетной записи по письму в электронной почте происходит автоматически, специальный бот просто выделяет ключевые слова.
Подписывайтесь на наш Telegram-канал с новостями технологий и культуры.
Ранее стало известно, что пользователи WhatsApp, которые не примут новую политику конфиденциальности, будут ограничены в использовании мессенджера. Принять новые условия нужно до 15 мая.