В WhatsApp была обнаружена новая уязвимость, сообщает портал The Forbes.
Исследователям кибербезопасности стало известно, что злоумышленник, зная номер телефона предполагаемой жертвы, может удаленно деактивировать учетную запись на устройстве пользователя. При этом вернуть доступ к аккаунту уже будет нельзя, и даже двухфакторная аутентификация не остановит хакера.
«Это еще одна возможность для хакеров, которая может повлиять на миллионы пользователей, которые могут стать потенциальными жертвами. На WhatsApp полагается множество людей как на свой основной способ коммуникации и тот факт, что взломать мессенджер так легко, вызывает тревогу», — считает специалист компании ESET Джейк Мур.
Схема работает следующим образом — когда пользователь впервые устанавливает приложение на свой телефон, платформа отправляет SMS-код для проверки учетной записи. Злоумышленник вводит для входа номер телефона жертвы, ей приходит SMS-код для проверки, который нельзя никому сообщать. Пользователь, как правило, игнорирует данное сообщение, а хакер вводит код наугад. Действие повторяется и продолжается до тех пор, пока WhatsApp не остановит отправку секретных комбинаций на 12 часов.
После этого злоумышленник регистрирует новый адрес электронной почты, например, в Gmail, и отправляет электронное письмо по адресу техподдержки WhatsApp с просьбой деактивировать аккаунт и указывает там номер жертвы. Дело в том, что письма обрабатываются автоматически и никакой проверки идентификации владельца учетной записи не производится.
«Ваш номер больше не зарегистрирован в WhatsApp на этом телефоне, так как он был зарегистрирован на другом телефоне. Если вы этого не сделали, подтвердите свой номер телефона, чтобы войти в свою учетную запись», — уведомляет пользователя мессенджер.
Пользователь вводит номер телефона, чтобы восстановить аккаунт, однако у него ничего не получится, так как WhatsApp заблокировал отправку шестизначных кодов на 12 часов.
Если злоумышленник через 12 часов продолжит запрашивать и вводить неправильный код, то на третьем круге WhatsApp проинформирует, что следующий ввод возможен только через -1 секунду, и больше возможности ввести код для входа в WhatsApp не будет — на этом этапе мессенджер просто «ломается».
Если злоумышленник отправит письмо в поддержку о блокировке аккаунта после этого, то войти в свой аккаунт пользователь уже не сможет, объяснил «Газете.Ru» директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар» Дмитрий Бондарь.
«Получается, что эта уязвимость схемы работы входа в WhatsApp позволяет любому человеку довольно просто заблокировать любую учетную запись в WhatsApp. Тем не менее, пока неясно, как злоумышленники могут монетизировать эту атаку, и, вероятнее всего, WhatsApp довольно быстро закроет эту уязвимость», — отметил эксперт.
По словам исследователя мобильных угроз в «Лаборатории Касперского» Виктора Чебышева, номер телефона в экосистеме WhatsApp является самым уязвимым местом.
«Если он окажется в руках у недоброжелателя, тот действительно может попытаться вывести из строя мессенджер на смартфоне пользователя. Однако ждать большой волны атак такого плана не стоит, поэтому это вовсе не повод перестать пользоваться популярным сервисом. Большинству мошенников обнаруженная уязвимость не позволит получить какую-либо выгоду», — считает эксперт.
Для злоумышленников, которым интересна атака на конкретных людей, выгода в виде вывода из строя мессенджера на некоторое время также сомнительна: если пользователь заметит, что мессенджер на его телефоне не работает, он сможет установить контакт с людьми другим способом: позвонить, отправить SMS, написать в другом мессенджере, встретиться лично, отмечает Чебышев.
«Если WhatsApp вдруг показал окно с текстом 'Your phone number is no longer registered with WhatsApp on this phone [Ваш номер телефона больше не зарегистрирован в WhatsApp на этом устройстве], следует сразу же сообщить в службу поддержки WhatsApp и предоставить доказательства, что вы это вы. К сожалению, любое приложение может содержать те или иные ошибки. Вероятнее всего WhatsApp в ближайшее время исправит процедуру дерегистрации телефонного номера, добавив туда возможность двухфакторной авторизации, так злоумышленники не смогут вывести мессенджер из строя на устройстве одним сообщением», — поделился эксперт.
Глеб Карманов, консультант Центра информационной безопасности компании «Инфосистемы Джет» отметил, что проверки по адресу электронной почты в настоящее время у мессенджера нет.
По словам эксперта, цель данной схемы — запустить процесс удаления учетной записи WhatsApp. Технически реализовать эту схему стало возможным из-за двух несовершенств в процессах работы мессенджера.
Во-первых, зная телефонный номер, уже можно пробовать войти в связанный с этим номером аккаунт. Во-вторых, злоумышленник может обратиться по почте в службу поддержки WhatsApp с просьбой заблокировать аккаунт жертвы, указав только номер ее телефона.
Что делать, если вы стали жертвой этой схемы? Эксперт рекомендует как можно быстрее обратиться в службу поддержки.
«Чем раньше вы это сделаете, тем больше шансов сохранить свой аккаунт. К сожалению, мер предосторожности как таковых пока немного. Чтобы сохранить свои переписки и контакты, можно создать их резервные копии», — советует Карманов.