Пользователей WhatsApp предупредили о блокировке

Новый неприятный сюрприз для двух миллиардов пользователей WhatsApp: в приложении нашли лазейки, из-за которых удаленный злоумышленник может с легкостью деактивировать WhatsApp на телефоне пользователя, а затем лишить его доступа к аккаунту. Об этом рассказал Зак Доффман в своем материале для Forbes.

Доффман заявил, что архитектура WhatsApp отстает от конкурентов: в приложении отсутствуют функции доступа с нескольких устройств и полностью зашифрованные резервные копии.

Даже двухфакторная аутентификация в WhatsApp не предотвращает новую угрозу, предупредил автор. Новая уязвимость связана с двумя отдельными процессами WhatsApp, каждый из которых имеет фундаментальный недостаток: речь идет о привязке к номеру телефона и возможности заблокировать доступ к аккаунту, написав обращение в службу поддержки.

Злоумышленник может ввести номер телефона жертвы в приложении, после чего сервис запросит у него код подтверждения (обычно отправляется в SMS или с помощью звонка). Доступов к сообщениям и звонкам жертвы у злоумышленника нет, поэтому он снова и снова будет вводить неверные цифры, пока WhatsApp не заблокирует возможность сброса кода на двенадцать часов.

Затем злоумышленник отправит запрос в службу поддержки мессенджера с просьбой заблокировать аккаунт из-за потери телефона, указав при этом номер жертвы.

Примерно через час WhatsApp перестает работать на телефоне и жертва видит тревожное уведомление: «Ваш номер телефона больше не зарегистрирован в WhatsApp на этом телефоне». У пользователя будет шанс восстановить доступ к аккаунту, если злоумышленник не запустит схему с введением неверных кодов вновь (если он повторит это два раза, аккаунт в итоге заблокируют навсегда).

Доффман отмечает, что финансовой выгоды такая схема злоумышленнику принести не может, но «есть множество причин, по которым может быть выгодно заблокировать кого-то в мессенджере».

«Эта уязвимость может затронуть миллионы пользователей. Когда так много людей полагаются на WhatsApp как на основной инструмент общения с близкими и по работе, тревожно, насколько легко это может произойти», — отмечает Джейк Мур из ESET.

Как писал «Рамблер», ранее мошенники научились крась аккаунты пользователей WhatsApp, запрашивая код подтверждения из смс от имени администраторов сервиса.

Когда пользователь меняет свой телефон или переустанавливает приложение, WhatsApp необходимо убедиться, что новое устройство связано с его номером телефона. Это делается с помощью отправки контрольного смс с шестизначным кодом. Как только пользователь введет правильный код, идентификация будет считаться пройденной и все сообщения WhatsApp начнут поступать на это устройство.

Злоумышленники начали подделывать сообщения от имени WhatsApp, запрашивая у пользователей эти коды: мошеннические сообщения приходят от аккаунта, на аварке которого стоит логотип WhatsApp.