RU

Аккаунт WhatsApp можна легко заблокувати. Дослідники знайшли уразливість у месенджері

13.04.2021, 16:38
Аккаунт WhatsApp можна легко заблокувати. Дослідники знайшли уразливість у месенджері - Фото
Фото: pixabay.com

Дослідники в області кібербезпеки Луїс Карпентеро і Ернесто Перенья з'ясували, що будь-якого користувача WhatsApp можна заблокувати в месенджері без його відома і для цього потрібно знати тільки його номер телефону, повідомив Forbes.

Коли користувач встановлює WhatsApp на новий пристрій, система просить його ввести номер телефону для того, щоб ідентифікувати людину, а потім відправляє на цей номер 6-значний код, який необхідний для підтвердження особи.

У цьому місці і починаються проблеми: справа в тому, що ваш номер телефону до застосунку може ввести взагалі будь-яка людина і тоді вам будуть приходити повідомлення або дзвінки з тим самим кодом для підтвердження особи. Якщо ви не вводили свій номер і не розумієте, чому вам приходять такі повідомлення, то ви просто проігноруєте їх. Поки все зрозуміло.

Далі, зловмисник вводить невірні 6 цифр, що провокує систему відправити ще одне повідомлення на вказаний номер телефону, а ви продовжуєте їх ігнорувати. Такий цикл може тривати кілька разів, поки програма не заблокує тимчасово доступ, написавши "ви намагалися вгадати занадто багато разів ... спробуйте ще раз через 12 годин". При цьому ваш застосунок продовжує працювати справно – WhatsApp був тимчасово заблокований у зловмисника.

Наступний крок недоброзичливця – створити нову електронну адресу, з якої він звертається до служби підтримки месенджера з проханням заблокувати аккаунт із вашим номером, так як у нього, нібито, був вкрадений телефон. І служба підтримки зробить це, при цьому не задасть додаткових питань, що ідентифікують особу.

Підписуйтесь на LIGA.Tech в Facebook: головні новини про технології

Однак, на цьому етапі все ще можна виправити: у застосунку буде вказано, що ваш номер заблоковано, але ви можете ідентифікувати себе, все тим же 6-значним кодом. Ви заходите до верифікації, на цій сторінці вам говорять, що вам потрібно почекати 10-11 годин (залежно від того, як швидко ви відреагуєте), після чого отримуєте код і відновлюєте доступ.

Справжня ж проблема для вас буде, якщо шахрай не стане відправляти лист до підтримки, коли отримає перше "12 годинне попередження". Після 3 циклів по 12 годин, його застосунок у результаті видасть повідомлення "ви намагалися вгадати занадто багато разів ... спробуйте ще раз через – 1 секунду".

Таке ж повідомлення отримаєте в своєму застосунку і ви. І це вже буде остаточний кінець. В цьому випадку залишиться тільки сподіватися, що в службі підтримки придумають альтернативне рішення, як ідентифікувати вас і, як наслідок, відновити вам доступ.

Щоб виправити таку проблему WhatsApp могла б використовувати концепцію довіреного пристрою, щоб один перевірений застосунок міг перевіряти інший, відзначають дослідники. Однак, судячи з формальної відповіді, яку надали в WhatsApp журналістам, компанія не збирається виправляти цей недолік. "Ми рекомендуємо всім, кому потрібна допомога, написати до нашої служби підтримки на електронну пошту, щоб ми могли провести розслідування", – написали в компанії.

Підписуйтесь на LIGA.Tech в Telegram: тільки важливе

Илья Закорецкий
Якщо Ви помітили орфографічну помилку, виділіть її мишкою і натисніть Ctrl+Enter.

Комментарі

Останні новини