WhatsAppa można zdalnie dezaktywować. Wystarczy numer telefonu
Cyberprzestępcy odkryli sposób na zdalne blokowanie cudzych kont na komunikatorze WhatsApp. Wystarczy, że poznają numer telefonu potencjalnej ofiary.
WhatsApp ma ostatnio spore problemy wizerunkowe związane z przymuszaniem użytkowników do akceptacji nowego regulaminu, a do tego to właśnie ten komunikator upodobali sobie hakerzy z OLX-a. W dodatku zaraz mogą pojawić się kolejne, gdyż okazało się, iż cyberprzestępcy potrafią zdalnie blokować konta użytkowników tego komunikatora. Wystarczy, że poznają numer telefonu ofiary.
Na domiar złego zdalna blokada konta WhatsApp z telefonu wiąże się z usunięciem opcji ponownej aktywacji na danym urządzeniu.
Podczas tego ataku, który opisali Luis Marquez Carpintero i Ernesto Canales Perena, atakujący najpierw wpisuje na swoim telefonie numer, będący jednocześnie loginem do konta, a potem próbuje się na niego wielokrotnie zalogować. Co prawda sześciocyfrowego kodu SMS raczej nie zgadnie, ale chodzi tutaj tylko o to, by po kilku próbach logowanie na WhatsAppie zostało zablokowane na 12 godzin.
W tym momencie atakujący pisze wiadomość e-mail do biura obsługi klienta WhatsApp, w której prosi o dezaktywację danego konta na urządzeniu ofiary — podaje się za jego właściciela, który telefon zgubił lub mu go ukradziono. WhatsApp na takie prośby z automatu przystaje, co skutkuje brakiem wylogowaniem się użytkownika na danym urządzeniu.
Przed tym atakiem nie chroni nawet dwuskładnikowe uwierzytelnianie.
Użytkownik w takiej sytuacji powinien mieć możliwość ponownego zalogowania się na swoje konto, ale ze względu na to, iż atakujący wcześniej dokonał wielu prób logowania… nie jest to możliwe przez kolejne 12 godzin. Dokładnie ten sam licznik czasu po wielu nieudanych próbach logowania bije na telefonie posiadacza numeru, jak i na telefonie cyberprzestępcy.
Użytkownik zostaje tym samym de facto odcięty od możliwości wysyłania oraz odbierania wiadomości i to bez żadnej gwarancji, że sytuacja nie powtórzy się w przyszłości. Atakujący po 12 godzinach może cały proces przeprowadzić ponownie, a WhatsApp, który opiera się o loginy w postaci numerów telefonu i od początku działał na jednym urządzeniu naraz, nie ma narzędzi, które mogłyby tutaj pomóc.
Tyle dobrego, że można łatwo rozpoznać, że pada się ofiarą takiego ataku — jeśli zaczną do nas masowo spływać wiadomości SMS z kodami logowania WhatsApp, to można zacząć się obawiać rychłej blokady konta. Pozostaje mieć nadzieję, że Facebook, czyli właściciel tegoż komunikatora, wprowadzi rychło zmiany w swoich procedurach, które uniemożliwią zdalne blokady kont…
