Atacatorii au găsit o modalitate de a bloca WhatsApp

Cum informează Forbes, atacatorii au venit cu o nouă modalitate de a înrăutăți viața utilizatorilor WhatsApp. Tot ce trebuie să faceți este să vă cunoașteți numărul de telefon - și chiar autentificarea cu doi factori nu va afecta.

Funcționează așa. Atacatorul instalează WhatsApp pe smartphone-ul său și intră ta număr. Pentru autorizare, mesagerul său cere un cod - care vine la ta telefon, dar îl ignorați pentru că nu l-ați cerut și credeți că este o greșeală. Problema este că obținerea codului nu a fost scopul.

Atacatorul introduce coduri aleatorii din nou și din nou, fără a încerca măcar să-l ghicească pe cel corect. După mai multe încercări nereușite, sistemul blochează trimiterea de noi coduri timp de 12 ore. Astfel, mesagerul dvs. funcționează bine, dar trimiterea codurilor de autorizare este suspendată. În teorie, aceasta nu va fi o problemă dacă nu trebuie să treceți din nou prin verificare în acest timp.

Dar același atacator creează un nou e-mail și scrie asistenței tehnice că numărul său de telefon [numărul dvs.] a fost furat și cere să dezactiveze contul asociat. Asistența tehnică nu verifică în niciun fel dacă numărul îi aparține și dezactivează contul.

Și numai în această etapă, utilizatorul începe să aibă probleme: apare un mesaj că numărul de telefon nu este înregistrat pe WhatsApp. Puteți trimite un cod de verificare pentru a încerca să vă conectați la contul dvs. Dar sistemul avertizează că ați făcut prea multe încercări de introducere nereușite și că trebuie să așteptați 12 ore. Introducerea codurilor primite anterior nu funcționează.

Dacă tocmai ai fost victima unei glume proaste, după 12 ore poți recâștiga accesul. Cu toate acestea, este posibil ca un atacator să nu trimită o cerere către asistența tehnică, ci să repete procesul de solicitare a codurilor după expirarea temporizatorului. A treia oară (adică după 24 de ore de la primul atac) sistemul se defectează: cronometrul afișează nu 12 ore, ci -1 secundă - și pe ambele smartphone-uri. Este imposibil să remediați acest lucru.

Dacă trimiteți o cerere către asistență tehnică, contul este dezactivat definitiv, deoarece temporizatorul este rupt. Aceasta este cea mai proastă dezvoltare posibilă a evenimentelor.

Cum este posibil acest lucru?

Motivul este simplu: de fapt, mesagerul este legat doar de numărul de telefon și nu compară sistemul de operare și numărul de identificare al dispozitivului. În plus, utilizatorii înșiși nu au nicio protecție împotriva persoanelor din afară: dacă introduceți numărul cuiva în messenger și un cont este legat de acest număr, acesta va fi afișat. Nu puteți limita vizibilitatea contului dvs.

Astfel, nu este dificil să aflăm cine este înregistrat pe WhatsApp. În același timp, numerele de telefon ale utilizatorilor apar în mod regulat în scurgeri - cum ar fi recenta masivă prună Baze de date Facebook.

Nu este dificil să rezolvi ambele probleme: este suficient să le oferi utilizatorilor posibilitatea de a-și ascunde contul de căutare și de a adăuga metoda de identificare la intrarea de pe un dispozitiv nou: de exemplu, confirmați-l printr-un dispozitiv deja autorizat din sistem obiect gadget.

Ce se întâmplă dacă încearcă să blocheze contul?

Reprezentanții WhatsApp au declarat că victimele unor astfel de atacuri ar trebui să contacteze asistența tehnică: astfel de acțiuni sunt contrare regulilor de utilizare a platformei. Merită să faceți acest lucru imediat ce observați un SMS cu coduri de acces WhatsApp pe care nu le-ați solicitat.

De asemenea, au recomandat conectarea unui e-mail la contul dvs. pentru a facilita restabilirea accesului. Nu au existat declarații despre creșterea securității, astfel încât un străin să nu vă poată bloca mesagerul.