У месенджері WhatsApp виявили нову вразливість: будь-якого користувача можна заблокувати без його відома — для цього потрібен тільки його номер телефону.
Як пише Forbes, це з'ясували дослідники в області кібербезпеки Луїс Карпентеро та Ернесто Перенья.
Зокрема, коли користувач встановлює WhatsApp на новий пристрій, він вводить номер телефону для ідентифікації, після чого вводить шестизначний код для підтвердження особи. Але ваш номер телефону може ввести будь-яка людина, після чого вам надходитимуть повідомлення або дзвінки з кодами. Після того як ви їх проігноруєте, зловмисник введе невірний код, після чого система відправить на ваш номер ще один, а ви знову його ігноруватимете.
Після кількох таких циклів WhatsApp тимчасово заблокує доступ у шахрая з повідомленням «ви намагалися вгадати занадто багато разів... спробуйте ще раз через 12 годин». Водночас застосунок на вашому телефоні відображатиметься коректно. Далі шахрай може створити нову електронну адресу і звернутися з неї до служби підтримки, попросивши заблокувати акаунт із вашим номером, пояснивши це крадіжкою телефону. І без додаткової ідентифікації особи служба підтримки це зробить.
Але в цьому разі ви самі зможете ідентифікувати себе, відправивши шестизначний код, і відновити доступ, але якщо зловмисник не відправлятиме листа до служби підтримки після першого повідомлення «спробуйте пізніше через 12 годин», після трьох подібних циклів у його застосунку з'явиться повідомлення «ви намагалися вгадати занадто багато разів... спробуйте ще раз через 1 секунду». Таке саме повідомлення прийде і вам, після чого відновити доступ можливості не буде, хіба що служба підтримки придумає альтернативне рішення і зможе вас ідентифікувати.
Видання зазначає, що цю проблему можна було виправити, якби месенджер використовував концепцію довіреного пристрою, щоб один перевірений застосунок міг перевіряти інший. Але WhatsApp цього не робитиме, оскільки на запит журналістів там відповіли: «Ми рекомендуємо всім, кому потрібна допомога, написати листа в нашу службу підтримки електронною поштою, щоб ми могли провести розслідування».
Контекст. У січні 2021 року месенджер WhatsApp, яким володіє Facebook, оновив політику конфіденційності. Оновлення стосується передачі даних своїх користувачів материнській компанії.
Читайте також
Ревізія стану енергетичного сектору після зими та заяв про «енергетичне перемир’я»
We make it Grain: реєстрацію на міжнародну конференцію Grain Ukraine 2025 відкрито
