Исследователи в сфере информационной безопасности обнаружили новую уязвимость в WhatsApp. По их мнению, проблема настолько серьёзна, что может побудить многих пользователей навсегда отказаться от использования этого мессенджера. Дело в том, что с помощью данной уязвимости злоумышленники могут навсегда заблокировать учетную запись WhatsApp.
По словам исследователей Луиса Маркеса Карпинтеро и Эрнесто Каналеса Перенья, злоумышленникам даже не требуется какое-либо специфическое программное обеспечение или навыки для использования уязвимости. Им достаточно только знать номер телефона пользователя. В дальнейшем они без особых усилий могут заблокировать пользователя от доступа к его учётной записи WhatsApp.
При попытке авторизации на новом устройстве WhatsApp требует прохождения двухфакторной аутентификации. Для проверки на телефонный номер пользователя отправляется 6-значный код. Если несколько раз неправильно ввести проверочный код на новом устройстве, происходит автоматическая приостановка учётной записи на 12 часов. Таким образом, злоумышленнику достаточно знать номер телефона жертвы, установить приложение WhatsApp на новом устройстве, ввести номер и последовательно вводить неправильные коды. Это заблокирует возможность входа на новом устройстве на 12 часов, но не повлияет на возможность использования приложения на существующем устройстве легального пользователя.
Если же повторить такую процедуру 3 раза, то после третьей попытки происходит сбой в работе таймера приостановки учётной записи в приложении. Вместо очередных 12 часов он будет показывать -1 секунду. И после этого WhatsApp полностью блокирует возможность входа на новом устройстве. На старом устройстве работа продолжится в обычном режиме. Но это ещё не всё.
Финальный этап атаки позволяет злоумышленнику полностью заблокировать учётную запись пользователя даже на старом устройстве. Для этого злоумышленнику нужно направить в WhatsApp электронный запрос с просьбой деактивировать телефонный номер. В ответ на это сервис отправит автоматический ответ злоумышленнику с запросом на подтверждение телефонного номера, который тому уже известен. А после подтверждения телефонного номера WhatsApp автоматически удалит учётную запись пользователя. Само же пользователь при этом увидит уведомление «Ваш номер телефона больше не зарегистрирован в WhatsApp на этом телефоне. Это может быть связано с тем, что вы зарегистрировали его на другом телефоне. Если вы этого не сделали, подтвердите свой номер телефона, чтобы снова войти в свою учётную запись». Но после этого, при попытке подтвердить свой номер, пользователь увидит лишь таймер приостановки с отображением -1 секунды. И авторизоваться больше не получится.
Источник: wccftech