Аккаунт WhatsApp можно легко заблокировать. Исследователи нашли уязвимость в мессенджере

Аккаунт WhatsApp можно легко заблокировать. Исследователи нашли уязвимость в мессенджере

13 апреля, 2021 0 Автор admin

Исследователи в области кибербезопасности Луис Карпентеро и Эрнесто Перенья выяснили, что любого пользователя WhatsApp можно заблокировать в мессенджере без его ведома и для этого нужно знать только его номер телефона, сообщил Forbes.

Когда пользователь устанавливает WhatsApp на новое устройство, система просит его ввести номер телефона для того, чтобы идентифицировать человека, а затем отправляет на этот номер 6-значный код, который необходим для подтверждения личности. 

Сообщение с 6-значным проверочным кодом

В этом месте и начинаются проблемы: дело в том, что ваш номер телефона в приложение может ввести вообще любой человек и тогда вам будут приходить сообщения или звонки с тем самым кодом для подтверждения личности. Если вы не вводили свой номер и не понимаете, почему вам приходят такие сообщения, то вы просто проигнорируете их. Пока все понятно.

Далее, злоумышленник вводит неверные 6 цифр, что провоцирует систему отправить еще одно сообщение на указанный номер телефона, а вы продолжаете их игнорировать. Такой цикл может продолжаться несколько раз, пока приложение не заблокирует временно доступ, написав «вы пытались угадать слишком много раз … попробуйте еще раз через 12 часов». При этом ваше приложение продолжает работать исправно – WhatsApp был временно заблокирован у злоумышленника. 

Окно блокировки после большого количества попыток

Следующий шаг недоброжелателя – создать новый электронный адрес, с которого он обращается в службу поддержки мессенджера с просьбой заблокировать аккаунт с вашим номером, так как у него, якобы, был украден телефон. И служба поддержки сделает это не задав дополнительных вопросов, идентифицирующих личность.

Письмо в службу поддержки мессенджера

Подписывайтесь на LIGA.Tech в Facebook: главные новости о технологиях

Однако, на этом этапе все еще можно исправить: в приложении будет указано, что ваш номер заблокировано, но вы можете идентифицировать себя, все тем же 6-значным кодом. Вы заходите в верификацию, на этой странице вам говорят, что вам нужно подождать 10-11 часов (в зависимости от того, как быстро вы отреагируете), после чего получаете код и возобновляете доступ. 

Настоящая же проблема для вас будет, если мошенник не станет отправлять письмо в поддержку, когда получит первое «12 часовое предупреждение». После 3 циклов по 12 часов, его приложение в итоге выдаст сообщение «вы пытались угадать слишком много раз … попробуйте еще раз через -1 секунду».

Блокировка приложения после нескольких 12-часовых циклов

Такое же сообщение получите в своем приложении и вы. И это уже будет окончательный конец. В этом случае останется только надеяться, что в службе поддержки придумают альтернативное решение, как идентифицировать вас и, как следствие, возобновить вам доступ. 

Чтобы исправить такую проблему WhatsApp могла бы использовать концепцию доверенного устройства, чтобы одно проверенное приложение могло проверять другое, отмечают исследователи. Однако, судя по формальному ответу, который предоставили в WhatsApp журналистам, компания не собирается исправлять этот недочет. «Мы рекомендуем всем, кому нужна помощь, написать в нашу службу поддержки по электронной почте, чтобы мы могли провести расследование», – написали в компании. 

Подписывайтесь на LIGA.Tech в Telegram: только важное

Илья Закорецкий

Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.