Любой аккаунт WhatsApp можно заблокировать, зная его номер. Решения пока нет
В мессенджере WhatsApp обнаружили беспрецедентную дыру в системе безопасности. Ошибка позволяет полностью заблокировать действие любого аккаунта без использования каких-либо дополнительных средств — нужен лишь номер телефона пользователя. О находке изданию Forbes сообщили исследователи безопасности Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перена (Ernesto Canales Pereña). Отмечается, что в настоящее время никакого решения этой проблемы не предусмотрено.
Блокировка аккаунта осуществляется всего в два несложных этапа. Сначала злоумышленник устанавливает WhatsApp на неизвестное устройство и вводит номер телефона жертвы якобы для активации. По двухфакторной аутентификации мессенджер присылает первый код безопасности оригинальному пользователю. После нескольких таких повторных и впоследствии неудачных попыток аккаунт становится заблокированным. Несмотря на то, что процесс временный (длительность блокировки составляет 12 часов), злоумышленник, если захочет, может сделать его чуть ли не перманентным.
После успешной блокировки злоумышленник приступает ко второй части плана. При уже заблокированном аккаунте злоумышленник запрашивает сообщение от службы поддержки для восстановления доступа, указывая свой адрес электронной почты и выдавая себя за жертву. Он утверждает, что устройство было потеряно или украдено, поэтому аккаунт должен быть деактивирован. Служба поддержки подтверждает запрос отправкой ответного письма и приостанавливает действие аккаунта без прочих проверок. Если злоумышленник будет постоянно повторять процесс, то можно создать полупостоянную блокировку.
Результаты исследования вызывают тревогу, но, по крайней мере, представленный метод не может быть использован для фактического получения доступа к аккаунту. Конфиденциальные сообщения и контакты не раскрываются. Пресс-служба WhatsApp воздерживается от подробных комментариев по поводу ситуации, однако, по словам представителя, предоставление адреса электронной почты вместе с другими личными данными может помочь избежать подобных атак. Тем не менее, в таком случае ответственность за безопасность по-прежнему возлагается на WhatsApp, с чем разработчики мессенджера, очевидно, не очень хорошо справляются.
В то же время WhatsApp предупредил, что использование обнаруженной уязвимости нарушает условия предоставления услуг компании. Устное уведомление нельзя назвать особо сдерживающим фактором, поскольку возможность напасть на чужой аккаунт есть абсолютно у кого угодно. По мнению издания Android Police, на ошибку обратят внимание, когда кто-нибудь попробует заблокировать Марка Цукерберга, ведь недавно его номер телефона попал в сеть в рамках крупной утечки, оказавшись в затронутой базе.
Блокировка аккаунта осуществляется всего в два несложных этапа. Сначала злоумышленник устанавливает WhatsApp на неизвестное устройство и вводит номер телефона жертвы якобы для активации. По двухфакторной аутентификации мессенджер присылает первый код безопасности оригинальному пользователю. После нескольких таких повторных и впоследствии неудачных попыток аккаунт становится заблокированным. Несмотря на то, что процесс временный (длительность блокировки составляет 12 часов), злоумышленник, если захочет, может сделать его чуть ли не перманентным.
После успешной блокировки злоумышленник приступает ко второй части плана. При уже заблокированном аккаунте злоумышленник запрашивает сообщение от службы поддержки для восстановления доступа, указывая свой адрес электронной почты и выдавая себя за жертву. Он утверждает, что устройство было потеряно или украдено, поэтому аккаунт должен быть деактивирован. Служба поддержки подтверждает запрос отправкой ответного письма и приостанавливает действие аккаунта без прочих проверок. Если злоумышленник будет постоянно повторять процесс, то можно создать полупостоянную блокировку.
Как выглядит временная блокировка аккаунта WhatsApp, совершённая злоумышленником | Forbes
Результаты исследования вызывают тревогу, но, по крайней мере, представленный метод не может быть использован для фактического получения доступа к аккаунту. Конфиденциальные сообщения и контакты не раскрываются. Пресс-служба WhatsApp воздерживается от подробных комментариев по поводу ситуации, однако, по словам представителя, предоставление адреса электронной почты вместе с другими личными данными может помочь избежать подобных атак. Тем не менее, в таком случае ответственность за безопасность по-прежнему возлагается на WhatsApp, с чем разработчики мессенджера, очевидно, не очень хорошо справляются.
В то же время WhatsApp предупредил, что использование обнаруженной уязвимости нарушает условия предоставления услуг компании. Устное уведомление нельзя назвать особо сдерживающим фактором, поскольку возможность напасть на чужой аккаунт есть абсолютно у кого угодно. По мнению издания Android Police, на ошибку обратят внимание, когда кто-нибудь попробует заблокировать Марка Цукерберга, ведь недавно его номер телефона попал в сеть в рамках крупной утечки, оказавшись в затронутой базе.