Aj keď WhatsApp je jedným z najobľúbenejšie platformy na odosielanie správ, aplikácia nedávno vystavila používateľov riziku niekoľkých problémov, vrátane jeho aktualizácia zásad ochrany osobných údajov. Nedávno sme videli ohavný podvod, ktorý koluje na WhatsApp čo umožňuje kontaktom používateľa ich hacknúť. Teraz sa objavila smrteľnejšia zraniteľnosť, ktorá využíva overovací systém WhatsApp, ktorý umožňuje hackerom natrvalo deaktivovať používateľský účet.
Chyby zabezpečenia v systéme overovania používateľov WhatsApp
Objavili ho výskumníci v oblasti bezpečnosti Luis Marquez Carpintero a Ernesto Canales Perena a vynesené na svetlo podľa ForbesTento nový hack môže byť pre používateľov WhatsApp smrteľný, pretože zahŕňa celkom jednoduchý, aj keď zdĺhavý proces. Navyše, ktokoľvek, kto má vaše telefónne číslo, môže tento proces vykonať na diaľku. Čo je nebezpečnejšie, je to ani dvojfaktorová autentifikácia (2FA) nebude môcť zachrániť váš účet z deaktivácie.
Ako to funguje?
Nový hack na deaktiváciu účtu na diaľku využíva slabé stránky zabezpečenia v dvoch architektúrach overovania ID WhatsApp. Prvý
zahŕňa proces prihlásenia cez OTP platformy a druhý je v časovači, ktorý platforma automaticky nastaví po viacerých neúspešných pokusoch o prihlásenie.V tomto procese môže útočník, ktorý pozná vaše telefónne číslo, začať umiestnením vášho čísla na prihlasovaciu obrazovku WhatsApp. Teraz majte na pamäti, že kým útočník vykoná svoje počiatočné akcie, vy budete ovplyvnení len čiastočne, ale budete môcť používať platformu ako zvyčajne. Dostanete však viacero prihlasovacích kódov prostredníctvom SMS, pretože útočník teraz vkladá náhodné kódy do procesu prihlasovania, aby inicioval druhú fázu procesu.
V druhej fáze, po viacerých neúspešných pokusoch o prihlásenie z vášho čísla, WhatsApp vloží a 12-hodinový časovač, ktorý obmedzí systém na generovanie akýchkoľvek nových prihlasovacích kódov pre zadané obdobie. Teraz by útočník mohol použiť falošnú e-mailovú adresu na odoslanie žiadosti o deaktiváciu účtu na adresu [email protected], aby deaktivoval váš účet. Takže v tomto bode WhatsApp zaznamenal viacero neúspešných pokusov o prihlásenie na váš účet a dostal žiadosť o deaktiváciu účtu pre účet prepojený s vaším telefónnym číslom.
V dôsledku toho budete asi o hodinu neskôr automaticky vyhodení z vášho účtu a dostanete e-mail na deaktiváciu účtu z WhatsApp. Teraz je zábavné, že keď sa pokúsite znova zaregistrovať svoj účet, budete to musieť urobiť zadajte jednorazové heslo odoslané aplikáciou WhatsApp. Teraz to však nie je možné, pretože existuje 12-hodinový časovač, ktorý obmedzuje platformu na generovanie nových prihlasovacích kódov pre váš účet. A tento časovač je rovnaký pre vás a útočníka, ktorý vytvoril túto situáciu.
Môžete sa teda pokúsiť znova zaregistrovať svoj účet po uplynutí času. Ak však útočník použije rovnaký trik predtým, ako sa znova zaregistrujete, proces sa môže zacykliť.
Rozdelenie systému
Teraz prichádza druhá slabina základnej architektúry WhatsApp. Automatizovaný bezpečnostný systém sa po určitom počte cyklov jednoducho pokazí. Ak teda útočník posunie váš účet do tejto fázy opakovaným neúspešným prihlasovacím procesom, na jeden bod, namiesto 12-hodinového časovača na generovanie nových kódov systém zobrazí časovač -1 sekundu pre rovnaký. To znamená, že automatizovaný overovací systém dosiahol svoj limit a pokazil sa.
Vďaka nefunkčnému systému si teraz nebudete môcť generovať nové prihlasovacie kódy pre svoje telefónne číslo ako večnosť. V dôsledku toho zostane váš účet deaktivovaný počas nasledujúcich 30 dní, po ktorých WhatsApp automaticky natrvalo odstráni váš účet zo svojej databázy.
Toto je skutočne únavný proces, ale je celkom jednoduchý. Každý, kto má smartfón, môže využiť tieto automatizované bezpečnostné chyby v WhatsApp na deaktiváciu používateľských účtov na diaľku.
Dá sa to opraviť?
Výskumníci v oblasti bezpečnosti po objavení uvedených zraniteľností uviedli, že problém sa dá ľahko vyriešiť podpora viacerých zariadení na ktorých WhatsApp funguje už dosť dlho. Vďaka podpore viacerých zariadení môže platforma použiť systém dôveryhodných zariadení podobne ako Apple na overenie zariadení, ktoré používatelia používajú na prístup k svojim účtom.
V súčasnosti však neexistuje žiadne riešenie tohto procesu. Ak teda v najbližších dňoch začnete dostávať náhodné prihlasovacie kódy z WhatsApp, budete vedieť, že sa niekto pokúša deaktivovať váš účet. Môžete kontaktovať tím podpory WhatsApp a informovať ich o situácii vopred, aby bol váš účet v bezpečí. Tiež šírte správy medzi svojich priateľov a rodiny, aby ste ich informovali o tomto nebezpečnom hacke WhatsApp.
Odporúčané články
???
Odpovedzte
