Możliwa utrata konta WhatsApp dzięki sprytnemu atakowi

16 04 2021

Użytkownicy popularnego komunikatora WhatsApp muszą być czujni wobec perspektywy nowych ataków. Tym razem hakerzy mogą zawiesić dowolne konto, używając wyłącznie numeru powiązanego z nim telefonu. Mechanizm nowego, potencjalnego ataku jest dość prosty. Zdaniem przedstawicieli WhatsApp można się przed nim chronić, podając adres e-mail w ustawieniach dwustopniowej weryfikacji. Pojawiają się jednak głosy, że aby zapewnić użytkownikom pełne bezpieczeństwo, luka w domyślnym procesie weryfikacji powinna zostać usunięta.

Jak działa mechanizm ataku w WhatsApp?

Kiedy po raz pierwszy następuje proces konfigurowania konta WhatsApp, na urządzeniu pojawia się prośba o podanie swojego numeru telefonu, na który wysyłany jest kod weryfikacyjny. Jeśli jakaś osoba będzie chciała użyć dowolnego, nienależącego do niej numeru telefonu w procesie weryfikacji, może to zrobić. Gdy go poda, pełnoprawny właściciel telefonu otrzyma wiadomości od WhatsApp z kodem weryfikacyjnym, wraz z zastrzeżeniem, aby nie przekazywać go nikomu. Przestępca jest w stanie aktywować ten mechanizm wielokrotnie, podczas gdy nieświadomy użytkownik może traktować ciągłe monity jako błąd aplikacji. Żądania spowodują ograniczenie przez WhatsApp liczby wysyłanych kodów poprzez zablokowanie kodów po kilku błędnych próbach na okres 12 godzin. Blokada wpłynie również na użytkownika, chociaż może on tego nie zauważyć, chyba że wyloguje się w międzyczasie z aplikacji.

Komunikator WhatsApp
Komunikator WhatsApp - przykładowy zrzut ekranu.

W następnym kroku, atakujący tworzy nowy adres e-mail i wysyła wiadomość mailową do zespołu pomocy WhatsApp w temacie rzekomo „zgubionego” lub „skradzionego telefonu”, prosząc o dezaktywację numeru prawowitego właściciela konta. Platforma weryfikuje „tożsamość” atakującego tylko poprzez wysłanie automatycznej wiadomości e-mail z żądaniem ponownego podania numeru. Jeśli atakujący to zrobi, WhatsApp zawiesi wówczas konto właściciela telefonu. A ponieważ został osiągnięty limit prób weryfikacji, użytkownik nie będzie mógł się zalogować, dopóki nie upłynie 12 godzin. Niestety, jeśli osoba atakująca użyje 12-godzinnego cyklu trzy razy z rzędu, WhatsApp zamiast informować użytkownika powiadomieniem „spróbuj ponownie po 12 godzinach”, ulegnie awarii i wyświetli komunikat „spróbuj ponownie po -1 sekundach”. Jeśli cyberprzestępca dotrze do tego momentu, nie będzie możliwości odzyskania konta bez pomocy konsultantów WhatsApp.

Specjaliści ds. cyberbezpieczeństwa z Eset już w ubiegłym roku wskazywali, jak ktoś może przejąć kontrolę nad kontem WhatsApp, znając tylko numer telefonu użytkownika. Luki w procesie weryfikacji nie należy lekceważyć, zwłaszcza że może mieć wpływ na miliony użytkowników, tym bardziej, że do ataków na komunikator WhatsApp, dochodziło już wielokrotnie.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Patrycja Kaleta-Łuczynowicz
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

Porównanie rozwiązań ochronnych

DLA GOSPODARSTWA DOMOWEGO I MIKRO FIRMY

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone