APLIKÁCIE A HRYBezpečnosťSpravodajstvo

WhatsApp má vážny nedostatok, pomocou ktorého viete inému používateľovi zablokovať účet. Stačí poznať len jeho číslo!

Samotný účet používatelia je pomocou novoobjavenej metódy možné zablokovať v priebehu pár minút.

Platforma WhatsApp vo všeobecnosti patrí medzi najpopulárnejšie komunikačné platformy. Posledné týždne sme mohli v súvislosti s touto službou čítať o viacerých zraniteľnostiach. Jednou z nich bol hackerský útok využívajúci správy od existujúcich kontaktov, pomocou ktorého sa útočníci snažili získať kontrolu nad účtom. Rovnako sme mohli čítať aj o podvodnej aplikácii Netflix, ktorá monitorovala konverzáciu prostredníctvom WhatsAppu.

Najnovšie, bezpečnostní analytici Luis Márquez Carpintero a Ernesto Canales Pereña objavili metódu, ktorá môže spôsobiť mnohým z nás vrásky na čele. Dôvodom je, že pomocou metódy, ktorú objavili, je možné približne v priebehu 5 minút zablokovať ľubovoľnému používateľovi účet.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Stačí poznať číslo obete, aby ste mu zablokovali účet

Ako upozorňuje portál Forbes, pre ktorý sa vyjadrili analytici, tak všetko čo je potrebné k útoku, tak je poznať mobilné číslo obete. Vzhľadom na nedávny únik dát z materskej platformy Facebook, kedy sa do obehu dostali mobilné čísla miliónov používateľov, možno tento útok relatívne ľahko cieliť.

Samotný útok je pritom veľmi jednoduchým. Pri obnovení účtu, potom ako si nainštalujete aplikáciu, tak služba využíva verifikačnú správu na autentifikáciu používateľa. Útočník pritom nemusí zadať len svoje číslo, ale viac menej hocikoho. V prípade, ak je telefóne číslo aktívne v mobilnej sieti, tak začne dostávať verifikačné správy. Najlogickejším krokom zo strany vlastníka účtu, je ignorovať tieto správy. Problémom však je, že keď týmto spôsobom útočník vyžiada verifikačnú správu viackrát v krátkej časovej následnosti, tak WhatsApp jednoducho na 12 hodín zablokuje možnosť obnovenia účtu, aby zabránil novým pokusom o prihlásenie.

Na dokonanie tohto útoku, útočníkovi následne stačí poslať na e-mail podpory služby správu so žiadosťou, že jeho účet mohol byť ukradnutým, aby ho zablokovali.

hacker utocnik_email na podporu whatsappu
Zdroj: Luis Márquez Carpintero a Ernesto Canales Pereña via Forbes

Po odoslaní e-mailu, približne do hodiny, nastane zablokovanie WhatsApp účtu

Samotný WhatsApp vzhľadom na informácie, ktoré sa zadávajú pri registrácii, nemôže vedieť, či e-mail je skutočne od vás, alebo nie. Neexistujú žiadne otázky, či iný nástroj, ktorý by verifikoval pôvodcu e-mailu. Služba podľa zistenú analytikov, následne pravdepodobne začína automatizovaný proces, kedy odhlasuje aktuálne prihláseného používateľa k danému číslo.

hacker utocnik_email na podporu whatsappu_2
Zdroj: Luis Márquez Carpintero a Ernesto Canales Pereña via Forbes

Podľa analytikov tento proces nastane približne hodinu potom, ako pošlete e-mail na podporu so žiadosťou o zablokovanie účtu. Majiteľ účtu je následne odhlásený a pri spustení aplikácie a pokuse o obnovenie účtu, sa mu ukáže hláška, ktorá ho navádza na obnovenie:

„Môže to byť tým, že ste to zaregistrovali na inom telefóne.“ Ak ste tak neurobili, overte svoje telefónne číslo a prihláste sa späť do svojho účtu.“

Zatiaľ to nie je problém, avšak pri pokuse o overenie účtu následne používateľ zistí, že účet je  dočasne blokovaným. Ak útočník v tomto momente skončí s realizovaním útoku, tak k svojmu účtu sa požívateľ dostane potom, ako vyprší čas blokovania. Ak však útok bude pretrvávať aj naďalej, tak používateľ môže mať reálny problém so získaním prístupu k svojmu účtu.

„Tu vstupuje do hry to, čo sa javí ako chyba WhatsAppu. Je to tak, že pri pokuse o prihlásenie do účtu, ktorý už bol predtým vyskúšaný a pokusy boli zablokované na 12 hodín, môže WhatsApp zobraziť text „Pokúsili ste sa prihlásiť príliš veľa krát. Skúste to znova o -1 sekundu.“

Riešením tohto problému môže byť manuálne zadanie e-mailového účtu do služby, aby ste sa mohli neskôr verifikovať. Urobiť tak môžete pomocou nastavení účtu v rozhraní aplikácie. Väčšina z nás však svoju e-mailovú adresu do služby dodatočne neregistruje po prihlásení sa.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close