Вразливість в WhatsApp дозволяє назавжди заблокувати обліковий запис користувача без його відома



Дослідники сфери інформаційної безпеки виявили нову вразливість в WhatsApp. Проблема настільки серйозна, що може спонукати багатьох користувачів назавжди відмовитися від використання месенджера. Справа в тому, що за допомогою даної уразливості зловмисники можуть назавжди заблокувати обліковий запис WhatsApp.


Зловмисникам навіть не потрібно якесь специфічне програмне забезпечення або навички для використання вразливості. Про це повідомляють дослідники Луїса Маркеса Карпінтерія і Ернесто Каналеса. Їм достатньо тільки знати номер телефону користувача. Надалі вони без особливих зусиль можуть заблокувати користувача від доступу до його облікового запису WhatsApp.


Під час спроби авторизації на новому пристрої WhatsApp вимагає проходження двофакторної аутентифікації. Для перевірки на телефонний номер користувача відправляється 6-значний код. Якщо кілька разів неправильно ввести код перевірки на новому пристрої, відбувається автоматична зупинка облікового запису на 12 годин.

Якщо повторювати так 3 рази – після третьої спроби відбувається збій в роботі таймера припинення облікового запису в додатку.


Фінальний етап атаки дозволяє зловмисникові повністю заблокувати обліковий запис користувача навіть у старому пристрої. Користувач лише побачить повідомлення:


«Ваш номер телефону більше не зареєстрований в WhatsApp на цьому телефоні. Це може бути пов’язано з тим, що ви зареєстрували його на іншому телефоні.Якщо ви цього не зробили, підтвердіть свій номер телефону, щоб знову увійти в свій обліковий запис ».


Пізніше, при спробі підтвердити свій номер, користувач побачить лише таймер припинення з відображенням -1 секунди. І авторизуватися більше не вийде.


Джерело: http://surl.li/qsqg