Любой аккаунт WhatsApp можно заблокировать, зная его номер. Решения пока нет
В мессендежере WhatsApp обнаружили беспрецедентную дыру в безопасности. Ошибка позволяет полностью заблокировать действие любого аккаунта без использования каких-либо дополнительных средств — нужен лишь номер телефона пользователя. О находке изданию Forbes сообщили исследователи безопасности Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перена (Ernesto Canales Pereña). Отмечается, что в настоящее время никакого решения данной проблемы не предусмотрено.
Блокировка аккаунта осуществляется всего в два этапа. Сначала злоумышленник устанавливает WhatsApp на новое устройство и вводит номер телефона жертвы якобы для активации. Двухфакторная система аутентификации присылает первый код безопасности оригинальному пользователю. После нескольких таких впоследствии повторных и неудачных попыток аккаунт становится заблокированным. Несмотря на то, что процесс временный (длительность блокировки составляет 12 часов), злоумышленник может сделать его чуть ли не постоянным.
После успешной блокировки злоумышленник приступает ко второй части плана. При уже заблокированном аккаунте злоумышленник запрашивает сообщение от службы поддержки для восстановления доступа, указывая свой адрес электронной почты и выдавая себя за жертву. Он утверждает, что устройство было потеряно или украдено, поэтому аккаунт должен быть деактивирован. Служба поддержки приостанавливает действие аккаунта и подтверждает запрос отправкой ответного письма без прочих проверок. Если злоумышленник будет постоянно повторять процесс, то можно создать полупостоянную блокировку.
Результаты исследования вызывают тревогу, но, по крайней мере, метод не может быть использован для фактического получения доступа к аккаунту. Конфиденциальные сообщения и контакты не раскрываются. Пресс-служба WhatsApp воздерживается от комментариев по поводу ситуации, однако, по словам представителя, предоставление адреса электронной почты вместе с другими личными данными может помочь избежать подобных атак. В таком случае ответственность за безопасность по-прежнему ложится на WhatsApp, с чем разработчики мессенджера и так не очень хорошо справляются.
В то же время WhatsApp предупредил, что использование обнаруженной уязвимости нарушает условия предоставления услуг компании. Уведомление нельзя назвать особо сдерживающим фактором, поскольку напасть на чужой аккаунт способен абсолютно кто угодно. По мнению издания Android Police, ошибку исправят, когда кто-нибудь попробует заблокировать аккаунта Марка Цукерберга, ведь недавно его номер телефона попал в сеть в рамках крупной утечки, оказавшись в затронутой базе.
Новость дополняется...