Angripare hittade ett sätt att blockera WhatsApp

hur informerar Forbes, angripare har kommit på ett nytt sätt att förvärra WhatsApp-användarnas liv. Allt du behöver göra är att känna till ditt telefonnummer - och till och med tvåfaktorautentisering skadar inte.

Det fungerar så här. Angriparen installerar WhatsApp på sin smartphone och går in din siffra. För auktorisering ber hans budbärare om en kod - som kommer till din telefon, men du ignorerar det eftersom du inte frågade efter det och tyckte att det var ett misstag. Problemet är att det inte var målet att få koden.

Angriparen anger slumpmässiga koder om och om igen, utan att ens försöka gissa rätt. Efter flera misslyckade försök blockerar systemet sändningen av nya koder i 12 timmar. Således fungerar din budbärare bra, men sändningen av auktoriseringskoder är avstängd. I teorin kommer detta inte att vara ett problem om du inte behöver gå igenom verifiering igen under den här tiden.

Men sedan skapar samma angripare ett nytt e-postmeddelande och skriver till teknisk support att hans telefonnummer [ditt nummer] stulits och ber om att inaktivera det associerade kontot. Teknisk support kontrollerar inte på något sätt om numret tillhör honom och inaktiverar kontot.

Och först i detta skede börjar användaren få problem: ett meddelande visas att telefonnumret inte är registrerat hos WhatsApp. Du kan skicka en verifieringskod för att försöka logga in på ditt konto. Men systemet varnar för att du har gjort för många misslyckade inmatningsförsök och måste vänta 12 timmar. Att ange koder som du fick tidigare fungerar inte.

Om du bara blev offer för ett dåligt skämt kan du efter 12 timmar få tillbaka åtkomst. En angripare kanske dock inte skickar en begäran till teknisk support utan istället upprepar processen med att begära koder när timern har gått ut. För tredje gången (det vill säga efter 24 timmar från första attacken) går systemet sönder: timern visar inte 12 timmar, utan -1 sekund - och på båda smartphones. Det är omöjligt att åtgärda detta.

Om du sedan skickar en förfrågan till teknisk support inaktiveras kontot permanent eftersom timern är trasig. Detta är den värsta möjliga utvecklingen av händelser.

Hur är detta möjligt?

Anledningen är enkel: budskapet är faktiskt bara knutet till telefonnumret och jämför inte operativsystemet och enhetsidentifieringsnumret. Dessutom har användarna inte något skydd från utomstående: om du anger någons nummer i budbäraren och ett konto är länkat till detta nummer kommer det att visas. Du kan inte begränsa synligheten för ditt konto.

Det är alltså inte svårt att ta reda på vem som är registrerad hos WhatsApp. Samtidigt uppträder användarnas telefonnummer regelbundet i läckor - som det senaste massiva plommon Facebook-databaser.

Det är inte svårt att åtgärda båda problemen: det räcker att ge användarna möjlighet att dölja sitt konto från sökningen och lägga till metod för identifiering vid inmatning från en ny enhet: till exempel bekräfta den genom en redan auktoriserad i systemet grej.

Vad händer om de försöker blockera kontot?

WhatsApp-representanter sa att offer för sådana attacker borde kontakta teknisk support: sådana åtgärder strider mot reglerna för att använda plattformen. Det är värt att göra detta så snart du märker ett SMS med WhatsApp-åtkomstkoder som du inte bad om.

De rekommenderade också att länka ett e-postmeddelande till ditt konto för att göra det lättare att återställa åtkomsten. Det fanns inga uttalanden om att öka säkerheten så att en utomstående inte kunde blockera din budbärare.