Аккаунт WhatsApp можно легко заблокировать: в нем нашли уязвимость
Исследователи в области кибербезопасности Луис Карпентеро и Эрнесто Перенья выяснили, что любого пользователя WhatsApp можно заблокировать в мессенджере без его ведома и для этого нужно знать только его номер телефона, сообщил Forbes.
Когда пользователь устанавливает WhatsApp на новое устройство, система просит его ввести номер телефона для того, чтобы идентифицировать человека, а затем отправляет на этот номер 6-значный код, который необходим для подтверждения личности.
В этом месте и начинаются проблемы: дело в том, что ваш номер телефона в приложение может ввести вообще любой человек и тогда вам будут приходить сообщения или звонки с тем самым кодом для подтверждения личности. Если вы не вводили свой номер и не понимаете, почему вам приходят такие сообщения, то вы просто проигнорируете их. Пока все понятно.
Далее, злоумышленник вводит неверные 6 цифр, что провоцирует систему отправить еще одно сообщение на указанный номер телефона, а вы продолжаете их игнорировать. Такой цикл может продолжаться несколько раз, пока приложение не заблокирует временно доступ, написав "вы пытались угадать слишком много раз ... попробуйте еще раз через 12 часов". При этом ваше приложение продолжает работать исправно – WhatsApp был временно заблокирован у злоумышленника.
Следующий шаг недоброжелателя – создать новый электронный адрес, с которого он обращается в службу поддержки мессенджера с просьбой заблокировать аккаунт с вашим номером, так как у него, якобы, был украден телефон. И служба поддержки сделает это не задав дополнительных вопросов, идентифицирующих личность.
Подписывайтесь на LIGA.Tech в Facebook: главные новости о технологиях
Однако, на этом этапе все еще можно исправить: в приложении будет указано, что ваш номер заблокировано, но вы можете идентифицировать себя, все тем же 6-значным кодом. Вы заходите в верификацию, на этой странице вам говорят, что вам нужно подождать 10-11 часов (в зависимости от того, как быстро вы отреагируете), после чего получаете код и возобновляете доступ.
Настоящая же проблема для вас будет, если мошенник не станет отправлять письмо в поддержку, когда получит первое "12 часовое предупреждение". После 3 циклов по 12 часов, его приложение в итоге выдаст сообщение "вы пытались угадать слишком много раз ... попробуйте еще раз через -1 секунду".
Такое же сообщение получите в своем приложении и вы. И это уже будет окончательный конец. В этом случае останется только надеяться, что в службе поддержки придумают альтернативное решение, как идентифицировать вас и, как следствие, возобновить вам доступ.
Чтобы исправить такую проблему WhatsApp могла бы использовать концепцию доверенного устройства, чтобы одно проверенное приложение могло проверять другое, отмечают исследователи. Однако, судя по формальному ответу, который предоставили в WhatsApp журналистам, компания не собирается исправлять этот недочет. "Мы рекомендуем всем, кому нужна помощь, написать в нашу службу поддержки по электронной почте, чтобы мы могли провести расследование", – написали в компании.
- Ранее мы сообщали, что российский фишинговый сайт под видом "Дія" собирает данные банковских карт украинцев. В статье мы рассказали, как уберечь свои банковские данные в интернете.
- WhatsApp уже не впервые попадает в скандал в связи с вопросами к безопастности личных данных пользователей: компания обновила правила конфиденциальности, несмотря на массовую критику, из-за которой пользователи уходили в другие мессенджеры.
Подписывайтесь на LIGA.Tech в Telegram: только важное