В WhatsApp можно заблокировать аккаунт по номеру телефона. Фото: unsplash / Christian Wiediger
В мессенджере WhatsApp обнаружили новую уязвимость: любого пользователя можно заблокировать без его ведома — для этого нужен только его номер телефона.
Как пишет Forbes, это выяснили исследователи в области кибербезопасности Луис Карпентеро и Эрнесто Перенья.
В частности, когда пользователь устанавливает WhatsApp на новое устройство, он вводит номер телефона для идентификации, после чего вводит шестизначный код для подтверждения личности. Однако ваш номер телефона может ввести любой человек, после чего вам будут приходить сообщения или звонки с кодами. После того как вы их проигнорируете, злоумышленник вводит неверный код, после чего система отправит на ваш номер еще один, а вы вновь его будете игнорировать.
После нескольких таких циклов WhatsApp временно заблокирует доступ у мошенника с уведомлением «вы пытались угадать слишком много раз... попробуйте еще раз через 12 часов». В то же время приложение на вашем телефоне будет отображаться корректно. Далее мошенник может создать новый электронный адрес и обратиться с него в службу поддержки, попросив заблокировать аккаунт с вашим номером, объяснив это кражей телефона. И без дополнительной идентификации личности служба поддержки это сделает.
Но в этом случае вы сами сможете идентифицировать себя, отправив шестизначный код, и восстановить доступ, но если злоумышленник не будет отправлять письмо в службу поддержки после первого сообщения «попробуйте позже через 12 часов», после трех подобных циклов в его приложении появится сообщение «вы пытались угадать слишком много раз... попробуйте еще раз через 1 секунду». Такое же самое сообщение придет и вам, после чего восстановить доступ возможности не будет, разве что служба поддержки придумает альтернативное решение и сможет вас идентифицировать.
Издание отмечает, что эту проблему можно было исправить, если бы мессенджер использовал концепцию доверенного устройства, чтобы одно проверенное приложение могло проверять другое. Но WhatsApp не будет этого делать, поскольку на запрос журналистов там ответили: «Мы рекомендуем всем, кому нужна помощь, написать в нашу службу поддержки по электронной почте, чтобы мы могли провести расследование».
Контекст. В январе 2021 года мессенджер WhatsApp, которым владеет Facebook, обновил политику конфиденциальности. Обновление касается передачи данных своих пользователей материнской компании.