Підтримати
Дослідники в області мережевих загроз Луїс Маркес Карпентер і Ернесто Каналес Перенья знайшли уразливість, яка дозволяє заблокувати будь-якого користувача WhatsApp, просто знаючи його номер телефону. Але, як зазначає Naked science, це проблема не тільки самого додатка, але всієї системи підтримки користувачів Facebook.
Більшість запитів обробляються автоматично, а щоб домогтися відповіді людини, необхідно напружитися. Цим і можуть скористатися зловмисники.
При зміні пристрою, на якому використовується WhatsApp користувач повинен ввести шестизначний код. Комбінація цифр приходить у вигляді SMS на зареєстрований номер. Але цей номер не обов'язково повинен збігатися з тим, який зареєстрований на SIM-картки Вашого пристрою. Насправді це може бути планшет без модуля мережевого зв'язку. Але якщо зловмисник запросить код за номером жертви кілька разів поспіль (зазвичай 10-12 разів), сервер WhatsApp заблокує відправку кодів на 12 годин.
На перший погляд, нічого страшного не сталося. Жертві просто прийде десяток кодів, які він або вона проігнорує - адже їх не запитували. Може, хтось просто помилився. Зловмисник, в свою чергу, замість цих кодів «віддасть» месенджеру будь-які цифри, щоб спрацював тригер на некоректне введення. А потім відправить на підтримку WhatsApp лист про те, що він власник облікового запису і його пристрій вкрали.
Запит буде опрацьовано автоматично, аккаунт тимчасово заблокують. Користувач ж отримає повідомлення про необхідність знову увійти в обліковий запис за допомогою SMS-коду, який він не зможе отримати, оскільки все ще діє блокування на їхню відправку.
Жертва точно так же звернеться в технічну підтримку і вступить в переписку з автовідповідачем. Але на листування з Facebook може піти кілька днів. Тим часом, як тільки зворотний відлік розблокування введення шестизначних кодів дійде до нуля, шкідник повторить нескладну маніпуляцію. Він знову дюжину разів запросить одноразові числові паролі, а потім введе замість них будь-які цифри. Розпочатий знову 12-годинний відлік на цей раз буде останнім. Після третьої спроби такого «добору» кодів сервер аутентифікації назавжди заблокує користувача. Номінально йому про це навіть не повідомлять: просто таймер стане показувати -1 секунду.
Способів захиститися від такої атаки немає, не рятує навіть двухфакторная аутентифікація, оскільки вона працює після введення одноразових кодів, які приходять по SMS. Блокування облікового запису за листом в електронній пошті відбувається автоматично, спеціальний бот просто виділяє ключові слова.
Підписуйтесь на наш Telegram-канал з новинами технологій і культури.
Раніше стало відомо, що користувачі WhatsApp, які не приймуть нову політику конфіденційності, будуть обмежені у використанні месенджера. Прийняти нові умови потрібно до 15 травня.
Стежити у Телеграмі
Увійти за допомогою Facebook
Увійти за допомогою Twitter
Увійти за допомогою Google