Пользователям WhatsApp грозит блокировка аккаунта
Исследователи в области кибербезопасности обнаружили в мессенджере WhatsApp новую уязвимость. Она позволяет лишить пользователя доступа к аккаунту, зная только номер его телефона. При этом не спасет даже двухэтапная авторизация.
Атака использует два "слабых места" в архитектуре безопасности принадлежащего Facebook мессенджера — привязку к номеру телефона, который легко узнать, и возможность заблокировать аккаунт в автоматическом режиме, просто написав письмо в службу поддержки.
Для реализации атаки злоумышленник устанавливает WhatsApp на свое устройство и вводит в него номер жертвы. Сервис запрашивает шестизначный код верификации, который отправляется по SMS или при помощи звонка на этот номер. Злоумышленник вводит произвольный неправильный код и запрашивает новый, повторяя это до тех пор, пока, после многочисленных попыток, WhatsApp не заблокирует возможность запроса кода на 12 часов.
После этого начинается второй этап: злоумышленник с произвольного адреса электронной почты пишет письмо в поддержку мессенджера с просьбой деактивировать его аккаунт в связи с потерей телефона, при этом указывая номер жертвы. У WhatsApp обработка таких запросов автоматизирована, и никаких попыток удостовериться, что просьба действительно исходит от владельца данного телефонного номера, служба поддержки не предпринимает.
Аккаунт просто блокируется на 30 дней, в течение которых его можно восстановить, введя проверочный код. Если этого не сделать, он будет удален без возможности восстановления архива чатов и других данных. Лишившись доступа к мессенджеру на своем телефоне, пользователь пытается восстановить доступ — но 12 часов, на которые получение проверочных кодов из-за действий злоумышленника было прекращено, еще не окончились, и сервис предлагает подождать. В принципе, по истечении периода ограничения у пользователя есть шанс получить проверочный код и восстановить доступ к аккаунту — если злоумышленник раньше не успеет запустить отсчет по новой.
Однако из-за ошибки со стороны WhatsApp у атакующего есть способ вообще лишить пользователя доступа, пишет Forbes. Если злоумышленник не напишет письмо с просьбой о блокировке во время первого 12-часового отсчета, вместо этого спровоцировав такой отсчет еще дважды, на третий раз вместо "12 часов" мессенджер из-за какого-то сбоя попросит подождать "-1 секунду". После этого просьба злоумышленника заблокировать аккаунт на "потерянном" телефоне сделает блокировку вечной, и восстановить аккаунт без помощи специалистов WhatsApp не получится.