Пользователям WhatsApp грозит блокировка аккаунтов

13 апреля 2021 09:40
Эксперты в области кибербезопасности указали на очередную недоработку в сервисе, принадлежащем Facebook (запрещена в РФ). Пользователям WhatsApp грозит очередная атака: при желании недоброжелатели могут лишить их доступа к аккаунту.

Исследователи в области кибербезопасности обнаружили в мессенджере WhatsApp новую уязвимость. Она позволяет лишить пользователя доступа к аккаунту, зная только номер его телефона. При этом не спасет даже двухэтапная авторизация.

Атака использует два "слабых места" в архитектуре безопасности принадлежащего Facebook (запрещена в РФ) мессенджера — привязку к номеру телефона, который легко узнать, и возможность заблокировать аккаунт в автоматическом режиме, просто написав письмо в службу поддержки.

Для реализации атаки злоумышленник устанавливает WhatsApp на свое устройство и вводит в него номер жертвы. Сервис запрашивает шестизначный код верификации, который отправляется по SMS или при помощи звонка на этот номер. Злоумышленник вводит произвольный неправильный код и запрашивает новый, повторяя это до тех пор, пока, после многочисленных попыток, WhatsApp не заблокирует возможность запроса кода на 12 часов.

После этого начинается второй этап: злоумышленник с произвольного адреса электронной почты пишет письмо в поддержку мессенджера с просьбой деактивировать его аккаунт в связи с потерей телефона, при этом указывая номер жертвы. У WhatsApp обработка таких запросов автоматизирована, и никаких попыток удостовериться, что просьба действительно исходит от владельца данного телефонного номера, служба поддержки не предпринимает.

Аккаунт просто блокируется на 30 дней, в течение которых его можно восстановить, введя проверочный код. Если этого не сделать, он будет удален без возможности восстановления архива чатов и других данных. Лишившись доступа к мессенджеру на своем телефоне, пользователь пытается восстановить доступ — но 12 часов, на которые получение проверочных кодов из-за действий злоумышленника было прекращено, еще не окончились, и сервис предлагает подождать. В принципе, по истечении периода ограничения у пользователя есть шанс получить проверочный код и восстановить доступ к аккаунту — если злоумышленник раньше не успеет запустить отсчет по новой.

Однако из-за ошибки со стороны WhatsApp у атакующего есть способ вообще лишить пользователя доступа, пишет Forbes. Если злоумышленник не напишет письмо с просьбой о блокировке во время первого 12-часового отсчета, вместо этого спровоцировав такой отсчет еще дважды, на третий раз вместо "12 часов" мессенджер из-за какого-то сбоя попросит подождать "-1 секунду". После этого просьба злоумышленника заблокировать аккаунт на "потерянном" телефоне сделает блокировку вечной, и восстановить аккаунт без помощи специалистов WhatsApp не получится.