Napadači su pronašli način da blokiraju WhatsApp

kako obavještava Forbesovi napadači smislili su novi način da pogoršaju život korisnika WhatsAppa. Sve što trebate je znati svoj telefonski broj - a čak ni dvofaktorska autentifikacija neće naštetiti.

Djeluje ovako. Napadač instalira WhatsApp na svoj pametni telefon i ulazi tvoj broj. Za autorizaciju, njegov glasnik traži kod - koji dolazi tvoj telefon, ali ga ignorirate jer ga niste tražili i mislite da je pogreška. Problem je što dobivanje koda nije bio cilj.

Napadač iznova unosi slučajne kodove, čak i ne pokušavajući pogoditi točan. Nakon nekoliko neuspješnih pokušaja, sustav blokira slanje novih kodova na 12 sati. Stoga vaš messenger radi u redu, ali slanje autorizacijskih kodova je obustavljeno. U teoriji to neće predstavljati problem ako za to vrijeme ne budete trebali ponovno prolaziti provjeru.

Ali tada isti napadač kreira novu e-poštu i piše tehničkoj podršci da mu je ukraden telefonski broj [vaš broj] i traži da deaktivira povezani račun. Tehnička podrška ni na koji način ne provjerava pripada li mu broj i deaktivira račun.

I tek u ovoj fazi korisnik počinje imati problema: pojavljuje se poruka da telefonski broj nije registriran na WhatsApp. Možete poslati kontrolni kôd da biste se pokušali prijaviti na svoj račun. No, sustav upozorava da ste napravili previše neuspješnih pokušaja unosa i morate pričekati 12 sati. Unos kodova koje ste ranije dobili ne funkcionira.

Ako ste upravo postali žrtvom loše šale, nakon 12 sati možete vratiti pristup. Međutim, napadač možda neće poslati zahtjev tehničkoj podršci, već će ponoviti postupak traženja kodova nakon isteka vremena. Treći put (odnosno nakon 24 sata od prvog napada) sustav se pokvari: mjerač vremena ne prikazuje 12 sati, već -1 sekundu - i to na oba pametna telefona. Nemoguće je to popraviti.

Ako nakon toga pošaljete zahtjev tehničkoj podršci, račun se trajno deaktivira jer je tajmer pokvario. Ovo je najgori mogući razvoj događaja.

Kako je ovo moguće?

Razlog je jednostavan: u stvari, glasnik je vezan samo za telefonski broj i ne uspoređuje operativni sustav i identifikacijski broj uređaja. Uz to, sami korisnici nemaju nikakvu zaštitu od strana: ako u messenger unesete nečiji broj i račun je povezan s tim brojem, on će se prikazati. Ne možete ograničiti vidljivost svog računa.

Stoga nije teško otkriti tko je registriran za WhatsApp. Istodobno, telefonski brojevi korisnika redovito iscuri - poput nedavnih masovnih događaja šljiva Facebook baze podataka.

Nije teško riješiti oba problema: dovoljno je dati korisnicima mogućnost da sakriju svoj račun od pretraživanja i dodavanja način identifikacije prilikom ulaska s novog uređaja: na primjer, potvrdite ga već ovlaštenim u sustavu naprava.

Što ako pokušaju blokirati račun?

Predstavnici WhatsAppa rekli su da bi se žrtve takvih napada trebale obratiti tehničkoj podršci: takve su akcije suprotne pravilima za upotrebu platforme. Vrijedno je to učiniti čim primijetite SMS s pristupnim kodovima WhatsApp koji niste zatražili.

Također su savjetovali povezivanje e-pošte s vašim računom kako bi se olakšalo vraćanje pristupa. Nije bilo izjava o povećanju sigurnosti tako da autsajder ne može blokirati vaš glasnik.