У WhatsApp виявили спосіб заблокувати будь-якого користувача за номером телефону

Поділитися
У WhatsApp виявили спосіб заблокувати будь-якого користувача за номером телефону Користувача WhatsApp можна заблокувати, просто знаючи його номер телефону © r-e-e-d.com
Заблокувати користувача можна на будь-який термін.

Дослідники в області мережевих загроз Луїс Маркес Карпентер і Ернесто Каналес Перенья знайшли уразливість, яка дозволяє заблокувати будь-якого користувача WhatsApp, просто знаючи його номер телефону. Але, як зазначає Naked science, це проблема не тільки самого додатка, але всієї системи підтримки користувачів Facebook.

Більшість запитів обробляються автоматично, а щоб домогтися відповіді людини, необхідно напружитися. Цим і можуть скористатися зловмисники.

При зміні пристрою, на якому використовується WhatsApp користувач повинен ввести шестизначний код. Комбінація цифр приходить у вигляді SMS на зареєстрований номер. Але цей номер не обов'язково повинен збігатися з тим, який зареєстрований на SIM-картки Вашого пристрою. Насправді це може бути планшет без модуля мережевого зв'язку. Але якщо зловмисник запросить код за номером жертви кілька разів поспіль (зазвичай 10-12 разів), сервер WhatsApp заблокує відправку кодів на 12 годин.

На перший погляд, нічого страшного не сталося. Жертві просто прийде десяток кодів, які він або вона проігнорує - адже їх не запитували. Може, хтось просто помилився. Зловмисник, в свою чергу, замість цих кодів «віддасть» месенджеру будь-які цифри, щоб спрацював тригер на некоректне введення. А потім відправить на підтримку WhatsApp лист про те, що він власник облікового запису і його пристрій вкрали.

Запит буде опрацьовано автоматично, аккаунт тимчасово заблокують. Користувач ж отримає повідомлення про необхідність знову увійти в обліковий запис за допомогою SMS-коду, який він не зможе отримати, оскільки все ще діє блокування на їхню відправку.

Жертва точно так же звернеться в технічну підтримку і вступить в переписку з автовідповідачем. Але на листування з Facebook може піти кілька днів. Тим часом, як тільки зворотний відлік розблокування введення шестизначних кодів дійде до нуля, шкідник повторить нескладну маніпуляцію. Він знову дюжину разів запросить одноразові числові паролі, а потім введе замість них будь-які цифри. Розпочатий знову 12-годинний відлік на цей раз буде останнім. Після третьої спроби такого «добору» кодів сервер аутентифікації назавжди заблокує користувача. Номінально йому про це навіть не повідомлять: просто таймер стане показувати -1 секунду.

Способів захиститися від такої атаки немає, не рятує навіть двухфакторная аутентифікація, оскільки вона працює після введення одноразових кодів, які приходять по SMS. Блокування облікового запису за листом в електронній пошті відбувається автоматично, спеціальний бот просто виділяє ключові слова.

Підписуйтесь на наш Telegram-канал з новинами технологій і культури.

Раніше стало відомо, що користувачі WhatsApp, які не приймуть нову політику конфіденційності, будуть обмежені у використанні месенджера. Прийняти нові умови потрібно до 15 травня.

Поділитися
Помітили помилку?

Будь ласка, виділіть її мишкою та натисніть Ctrl+Enter або Надіслати помилку

Додати коментар
Всього коментарів: 0
Текст містить неприпустимі символи
Залишилось символів: 2000
Будь ласка, виберіть один або кілька пунктів (до 3 шт.), які на Вашу думку визначає цей коментар.
Будь ласка, виберіть один або більше пунктів
Нецензурна лексика, лайка Флуд Порушення дійсного законодвства України Образа учасників дискусії Реклама Розпалювання ворожнечі Ознаки троллінгу й провокації Інша причина Відміна Надіслати скаргу ОК
Залишайтесь в курсі останніх подій!
Підписуйтесь на наш канал у Telegram
Стежити у Телеграмі