Если вы используете WhatsApp, вы можете опасаться атаки, когда киберпреступники могут заблокировать вашу учетную запись, используя только ваш номер телефона. По данным Forbes, процитировавшим исследование Луиса Маркеса Карпинтеро и Эрнесто Каналеса Переньи, скрытая лазейка связана с нарушением безопасности двух независимых процессов WhatsApp.

Для контекста: когда вы впервые настраиваете свою учетную запись WhatsApp на устройстве, вам будет предложено указать номер телефона, на который будет отправлен проверочный код. После ввода кода вам будет предложено ввести номер для двухфакторной аутентификации (2FA), чтобы подтвердить свою личность.

Однако невозможно запретить кому-либо использовать ваш номер в процессе проверки. Если бы злоумышленник сделал это, вы бы получили звонки и сообщения от WhatsApp с проверочным кодом вместе с уведомлением, призывающим вас никому не сообщать регистрационный код. Преступник может делать это неоднократно, в то время как вы можете игнорировать сообщения как ошибку.

Запросы в конечном итоге приведут к срабатыванию ограничения WhatsApp на количество отправок кодов, а также к блокировке кодов после нескольких неправильных попыток — на 12 часов. Тайм-аут повлияет и на вас, хотя вы можете этого не заметить, если не выйдете из системы.

На следующем этапе злоумышленник создаст новый адрес электронной почты и отправит электронное письмо в службу поддержки WhatsApp с темой «потерянный/украденный телефон» и попросит их деактивировать ваш номер. Судя по всему, платформа проверит «личность» злоумышленника, только отправив автоматическое электронное письмо с повторным запросом вашего номера. WhatsApp заблокирует вашу учетную запись. А поскольку достигнут предел попыток проверки, вы не сможете войти в систему, пока не истечет 12-часовой таймер.

К сожалению, если злоумышленник нарушит 12-часовой цикл три раза подряд, WhatsApp выйдет из строя, и вместо того, чтобы предлагать пользователю «повторить попытку через 12 часов», он покажет сообщение «попробуйте еще раз через — 1 секунду». Исследователи предупредили, что если злоумышленник подождет до этого момента, не будет возможности вернуть вашу учетную запись, если вы не найдете кого-то в WhatsApp, готового помочь.

В беседе с Forbes представитель WhatsApp сказал, что «предоставление адреса электронной почты с вашей двухэтапной проверкой помогает нашей службе поддержки клиентов помогать людям, если они когда-либо столкнутся с этой маловероятной проблемой. Обстоятельства, указанные этим исследователем, могут нарушить наши условия обслуживания, и мы рекомендуем всем, кто нуждается в помощи, написать в нашу службу поддержки по электронной почте, чтобы мы могли провести расследование».

Проблема привлекла внимание специалиста по безопасности ESET Джейка Мура, который недавно показал, как кто-то может получить контроль над вашей учетной записью WhatsApp, просто зная ваш номер телефона. Мур предупредил, что к новому недостатку не следует относиться легкомысленно, тем более, что он может затронуть миллионы людей и его относительно легко устранить.

«Невозможно отказаться от обнаружения в WhatsApp. Любой может ввести номер телефона, чтобы найти связанную учетную запись, если она существует. В идеале, движение в сторону большей конфиденциальности помогло бы защитить пользователей от этого, а также заставило бы людей внедрить ПИН-код для двухэтапной проверки», — сказал он.

Оригинал материала