Użytkownicy popularnego komunikatora WhatsApp muszą być czujni wobec perspektywy nowych ataków. Tym razem hakerzy mogą zawiesić dowolne konto, używając wyłącznie numeru powiązanego z nim telefonu. Mechanizm nowego, potencjalnego ataku jest dość prosty. Zdaniem przedstawicieli WhatsApp można się przed nim chronić, podając adres e-mail w ustawieniach dwustopniowej weryfikacji. Pojawiają się jednak głosy, że aby zapewnić użytkownikom pełne bezpieczeństwo, luka w domyślnym procesie weryfikacji powinna zostać usunięta.
Jak działa mechanizm ataku w WhatsApp?
Kiedy po raz pierwszy następuje proces konfigurowania konta WhatsApp, na urządzeniu pojawia się prośba o podanie swojego numeru telefonu, na który wysyłany jest kod weryfikacyjny. Jeśli jakaś osoba będzie chciała użyć dowolnego, nienależącego do niej numeru telefonu w procesie weryfikacji, może to zrobić. Gdy go poda, pełnoprawny właściciel telefonu otrzyma wiadomości od WhatsApp z kodem weryfikacyjnym, wraz z zastrzeżeniem, aby nie przekazywać go nikomu. Przestępca jest w stanie aktywować ten mechanizm wielokrotnie, podczas gdy nieświadomy użytkownik może traktować ciągłe monity jako błąd aplikacji. Żądania spowodują ograniczenie przez WhatsApp liczby wysyłanych kodów poprzez zablokowanie kodów po kilku błędnych próbach na okres 12 godzin. Blokada wpłynie również na użytkownika, chociaż może on tego nie zauważyć, chyba że wyloguje się w międzyczasie z aplikacji.
W następnym kroku, atakujący tworzy nowy adres e-mail i wysyła wiadomość mailową do zespołu pomocy WhatsApp w temacie rzekomo „zgubionego” lub „skradzionego telefonu”, prosząc o dezaktywację numeru prawowitego właściciela konta. Platforma weryfikuje „tożsamość” atakującego tylko poprzez wysłanie automatycznej wiadomości e-mail z żądaniem ponownego podania numeru. Jeśli atakujący to zrobi, WhatsApp zawiesi wówczas konto właściciela telefonu. A ponieważ został osiągnięty limit prób weryfikacji, użytkownik nie będzie mógł się zalogować, dopóki nie upłynie 12 godzin. Niestety, jeśli osoba atakująca użyje 12-godzinnego cyklu trzy razy z rzędu, WhatsApp zamiast informować użytkownika powiadomieniem „spróbuj ponownie po 12 godzinach”, ulegnie awarii i wyświetli komunikat „spróbuj ponownie po -1 sekundach”. Jeśli cyberprzestępca dotrze do tego momentu, nie będzie możliwości odzyskania konta bez pomocy konsultantów WhatsApp.
Specjaliści ds. cyberbezpieczeństwa z Eset już w ubiegłym roku wskazywali, jak ktoś może przejąć kontrolę nad kontem WhatsApp, znając tylko numer telefonu użytkownika. Luki w procesie weryfikacji nie należy lekceważyć, zwłaszcza że może mieć wpływ na miliony użytkowników, tym bardziej, że do ataków na komunikator WhatsApp, dochodziło już wielokrotnie.
