Изъян в WhatsApp позволяет любому заблокировать вам доступ к вашей учётной записи

Если вы используете WhatsApp, вы можете опасаться атаки, когда киберпреступники могут заблокировать вашу учетную запись, используя только ваш номер телефона. По данным Forbes, процитировавшим исследование Луиса Маркеса Карпинтеро и Эрнесто Каналеса Переньи, скрытая лазейка связана с нарушением безопасности двух независимых процессов WhatsApp.

Для контекста: когда вы впервые настраиваете свою учетную запись WhatsApp на устройстве, вам будет предложено указать номер телефона, на который будет отправлен проверочный код. После ввода кода вам будет предложено ввести номер для двухфакторной аутентификации (2FA), чтобы подтвердить свою личность.

Однако невозможно запретить кому-либо использовать ваш номер в процессе проверки. Если бы злоумышленник сделал это, вы бы получили звонки и сообщения от WhatsApp с проверочным кодом вместе с уведомлением, призывающим вас никому не сообщать регистрационный код. Преступник может делать это неоднократно, в то время как вы можете игнорировать сообщения как ошибку.

Запросы в конечном итоге приведут к срабатыванию ограничения WhatsApp на количество отправок кодов, а также к блокировке кодов после нескольких неправильных попыток — на 12 часов. Тайм-аут повлияет и на вас, хотя вы можете этого не заметить, если не выйдете из системы.

На следующем этапе злоумышленник создаст новый адрес электронной почты и отправит электронное письмо в службу поддержки WhatsApp с темой «потерянный/украденный телефон» и попросит их деактивировать ваш номер. Судя по всему, платформа проверит «личность» злоумышленника, только отправив автоматическое электронное письмо с повторным запросом вашего номера. WhatsApp заблокирует вашу учетную запись. А поскольку достигнут предел попыток проверки, вы не сможете войти в систему, пока не истечет 12-часовой таймер.

К сожалению, если злоумышленник нарушит 12-часовой цикл три раза подряд, WhatsApp выйдет из строя, и вместо того, чтобы предлагать пользователю «повторить попытку через 12 часов», он покажет сообщение «попробуйте еще раз через — 1 секунду». Исследователи предупредили, что если злоумышленник подождет до этого момента, не будет возможности вернуть вашу учетную запись, если вы не найдете кого-то в WhatsApp, готового помочь.

В беседе с Forbes представитель WhatsApp сказал, что «предоставление адреса электронной почты с вашей двухэтапной проверкой помогает нашей службе поддержки клиентов помогать людям, если они когда-либо столкнутся с этой маловероятной проблемой. Обстоятельства, указанные этим исследователем, могут нарушить наши условия обслуживания, и мы рекомендуем всем, кто нуждается в помощи, написать в нашу службу поддержки по электронной почте, чтобы мы могли провести расследование».

Проблема привлекла внимание специалиста по безопасности ESET Джейка Мура, который недавно показал, как кто-то может получить контроль над вашей учетной записью WhatsApp, просто зная ваш номер телефона. Мур предупредил, что к новому недостатку не следует относиться легкомысленно, тем более, что он может затронуть миллионы людей и его относительно легко устранить.

«Невозможно отказаться от обнаружения в WhatsApp. Любой может ввести номер телефона, чтобы найти связанную учетную запись, если она существует. В идеале, движение в сторону большей конфиденциальности помогло бы защитить пользователей от этого, а также заставило бы людей внедрить ПИН-код для двухэтапной проверки», — сказал он.

 

Оригинал материала

10 мая, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2026
Утечка данных из Telega «технически невозможна»
03.07.2026
В России появился антимошеннический оперштаб
03.07.2026
«Лаборатории разрабатывают технологию, но правила должны устанавливать граждане»
02.07.2026
В США объявили войну пиратским сайтам, транслирующим футбол
02.07.2026
Инцидент с сервисом 1-800-Dentist грозит масштабной утечкой
02.07.2026
Компания JoyMoney выбрала MaxPatrol SIEM ядром своего SOC
02.07.2026
«К2Тех»: Нового оборудования нет — рынок заполнен б/у-железом
02.07.2026
Open Standard готовит к выпуску долларовый стейблкоин
02.07.2026
Российские регуляторы грозят Apple судом
02.07.2026
Cloud.ru добавил внешние языковые модели в сервис Foundation Models

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных