У WhatsApp виявили спосіб заблокувати будь-якого користувача за номером телефону

13 квiтня, 2021, 15:04 Роздрукувати
Відправити
Відправити

Заблокувати користувача можна на будь-який термін.

У WhatsApp виявили спосіб заблокувати будь-якого користувача за номером телефону
Користувача WhatsApp можна заблокувати, просто знаючи його номер телефону © r-e-e-d.com

Дослідники в області мережевих загроз Луїс Маркес Карпентер і Ернесто Каналес Перенья знайшли уразливість, яка дозволяє заблокувати будь-якого користувача WhatsApp, просто знаючи його номер телефону. Але, як зазначає Naked science, це проблема не тільки самого додатка, але всієї системи підтримки користувачів Facebook.

Більшість запитів обробляються автоматично, а щоб домогтися відповіді людини, необхідно напружитися. Цим і можуть скористатися зловмисники.

При зміні пристрою, на якому використовується WhatsApp користувач повинен ввести шестизначний код. Комбінація цифр приходить у вигляді SMS на зареєстрований номер. Але цей номер не обов'язково повинен збігатися з тим, який зареєстрований на SIM-картки Вашого пристрою. Насправді це може бути планшет без модуля мережевого зв'язку. Але якщо зловмисник запросить код за номером жертви кілька разів поспіль (зазвичай 10-12 разів), сервер WhatsApp заблокує відправку кодів на 12 годин.

На перший погляд, нічого страшного не сталося. Жертві просто прийде десяток кодів, які він або вона проігнорує - адже їх не запитували. Може, хтось просто помилився. Зловмисник, в свою чергу, замість цих кодів «віддасть» месенджеру будь-які цифри, щоб спрацював тригер на некоректне введення. А потім відправить на підтримку WhatsApp лист про те, що він власник облікового запису і його пристрій вкрали.

Запит буде опрацьовано автоматично, аккаунт тимчасово заблокують. Користувач ж отримає повідомлення про необхідність знову увійти в обліковий запис за допомогою SMS-коду, який він не зможе отримати, оскільки все ще діє блокування на їхню відправку.

Жертва точно так же звернеться в технічну підтримку і вступить в переписку з автовідповідачем. Але на листування з Facebook може піти кілька днів. Тим часом, як тільки зворотний відлік розблокування введення шестизначних кодів дійде до нуля, шкідник повторить нескладну маніпуляцію. Він знову дюжину разів запросить одноразові числові паролі, а потім введе замість них будь-які цифри. Розпочатий знову 12-годинний відлік на цей раз буде останнім. Після третьої спроби такого «добору» кодів сервер аутентифікації назавжди заблокує користувача. Номінально йому про це навіть не повідомлять: просто таймер стане показувати -1 секунду.

Способів захиститися від такої атаки немає, не рятує навіть двухфакторная аутентифікація, оскільки вона працює після введення одноразових кодів, які приходять по SMS. Блокування облікового запису за листом в електронній пошті відбувається автоматично, спеціальний бот просто виділяє ключові слова.

Підписуйтесь на наш Telegram-канал з новинами технологій і культури.

Читайте також: WhatsApp припиняє роботу на старих iPhone - ЗМІ

Раніше стало відомо, що користувачі WhatsApp, які не приймуть нову політику конфіденційності, будуть обмежені у використанні месенджера. Прийняти нові умови потрібно до 15 травня.

Підготував/ла : Фаина Ваулина
Ми повідомляємо тільки дійсно важливі новини. Долучайся до Telegram-каналу
Помітили помилку?
Будь ласка, виділіть її мишкою і натисніть Ctrl+Enter або Відправити помилку
ДОБАВИТЬ КОММЕНТАРИЙ
Текст содержит недопустимые символы
ДОБАВИТЬ КОММЕНТАРИЙ
Осталось символов: 2000
Отправить комментарий
Последний Первый Популярный Всего комментариев: 0
Показать больше комментариев
Пожалуйста выберите один или несколько пунктов (до 3 шт.) которые по Вашему мнению определяет этот коментарий.
Пожалуйста выберите один или больше пунктов
Нецензурна лексика, лайка Флуд Порушення дійсного законодвства України Образа учасників дискусії Реклама Розпалювання ворожнечі Ознаки троллінгу й провокації Інша причина Отмена Отправить жалобу ОК