В WhatsApp обнаружена серьезная уязвимость
Обнаружена серьезная брешь в системе безопасности WhatsApp, которая может быть использована злоумышленниками, чтобы заблокировать вашу учетную запись. Единственная информация, которая нужна злоумышленнику — это ваш номер телефона.
Как работает схема?
Алгоритм атаки очень простой — злоумышленник устанавливает WhatsApp на свое устройство, используя ваш номер телефона для активации приложения. Мессенджер пытается проверить, действительно ли номер телефона принадлежит установившему приложение, присылая для этого код подтверждения. Злоумышленник запрашивает код несколько раз подряд, в результате чего учетная запись блокируется на двенадцать часов.
Далее хакер обращается в службу поддержки WhatsApp, и заявляет, что его телефон (то есть, ваш телефон) был украден или утерян, поэтому учетную запись WhatsApp, привязанную к утерянному номером, нужно заблокировать. На следующем этапе мессенджер блокирует учетную запись на вашем телефоне.
Заместитель генерального директора - технический директор компании «Газинформсервис» Николай Нашивочников рассказал о новой уязвимости в WhatsApp:
- Удивляет, что такие бреши существуют в популярных мессенджерах. Это случилось, потому что в ходе разработки приложения была допущена логическая ошибка при проектировании сценариев действий пользователя. Можно было избежать подобной уязвимости, если бы при попытке зарегистрировать новое устройство, после запроса нескольких одноразовых кодов, на старом устройстве в приложении появлялось всплывающее окно с информацией о другом устройстве и запросом на подтверждение новой установки. Если правомерный пользователь отказывается подтверждать установку, то работа WhatsApp на новом устройстве блокировалась бы автоматически. В этом случае правомерный пользователь убережет свой аккаунт от блокировки, а злоумышленник не сможет использовать свое мобильное устройство для подобной атаки.
Этот момент не учли при проектировании, и теперь найденная мошенниками уязвимость может затронуть миллионы пользователей. Сложно сказать, как злоумышленники способны монетизировать эту атаку. Пока что речь идет о неудобствах, которые могут причинить пользователю, лишив его аккаунта. Вероятно, что эту лазейку администрация WhatsApp скоро закроет. Но пока она открыта – рекомендую сохранять резервные копии своих переписок, чтобы не потерять необходимую вам информацию.
