Акк WhatsApp можно просто заблокировать: в нем отыскали уязвимость

13.04.2021, 15:42 0 0 Фото: pixabay.com

Исследователи в области кибербезопасности Луис Карпентеро и Эрнесто Перенья узнали, что хоть какого юзера WhatsApp можно заблокировать в мессенджере без его ведома и для этого необходимо знать лишь его номер телефона, сказал Forbes.

Когда юзер устанавливает WhatsApp на новое устройство, система просит его ввести номер телефона для того, чтоб идентифицировать человека, а потом посылает на этот номер 6-значный код, который нужен для доказательства личности. 

В этом месте и начинаются задачи: дело в том, что ваш номер телефона в приложение может ввести совершенно хоть какой человек тогда и для вас будут приходить сообщения либо звонки с тем кодом для доказательства личности. Если вы не вводили собственный номер и не осознаете, почему для вас приходят такие сообщения, то вы просто проигнорируете их. Пока все понятно.

Дальше, злодей вводит неправильные 6 цифр, что провоцирует систему выслать очередное сообщение на обозначенный номер телефона, а вы продолжаете их игнорировать. Таковой цикл может длиться пару раз, пока приложение не перекроет временно доступ, написав «вы пробовали угадать очень много раз … попытайтесь снова через 12 часов». При всем этом ваше приложение продолжает работать исправно – WhatsApp был временно заблокирован у злодея. 

Последующий шаг недоброжелателя – сделать новейший электрический адресок, с которого он обращается в службу саппорта мессенджера с просьбой заблокировать акк с вашим номером, потому что у него, типо, был украден телефон. И служба саппорта сделает это не задав доп вопросцев, идентифицирующих личность.

Подписывайтесь на LIGA.Tech в Facebook: главные анонсы о разработках

Но, на этом шаге все еще можно поправить: в приложении будет обозначено, что ваш номер заблокировано, но вы сможете идентифицировать себя, все этим же 6-значным кодом. Вы входите в верификацию, на данной страничке для вас молвят, что для вас необходимо подождать 10-11 часов (зависимо от того, как стремительно вы отреагируете), опосля чего же получаете код и возобновляете доступ. 

Реальная же неувязка вам будет, если жулик не станет отправлять письмо в поддержку, когда получит 1-ое «12 часовое предупреждение». Опосля 3 циклов по 12 часов, его приложение в конечном итоге выдаст сообщение «вы пробовали угадать очень много раз … попытайтесь снова через -1 секунду».

Такое же сообщение получите в собственном приложении и вы. И это уже будет окончательный конец. В данном случае остается лишь возлагать, что в службе саппорта выдумают другое решение, как идентифицировать вас и, как следствие, возобновить для вас доступ. 

Чтоб поправить такую делему WhatsApp могла бы употреблять теорию доверенного устройства, чтоб одно испытанное приложение могло инспектировать другое, отмечают исследователи. Но, судя по формальному ответу, который предоставили в WhatsApp журналистам, компания не собирается исправлять этот недостаток. «Мы советуем всем, кому нужна помощь, написать в нашу службу саппорта по электрической почте, чтоб мы могли провести расследование», – написали в компании. 

  • Ранее мы докладывали, что русский фишинговый веб-сайт под видом «Дія» собирает данные банковских карт украинцев. В статье мы поведали, как уберечь свои банковские данные в вебе. 
  • WhatsApp уже не в первый раз попадает в скандал в связи с вопросцами к безопастности личных данных юзеров: компания обновила правила конфиденциальности, невзирая на массовую критику, из-за которой юзеры уходили в остальные мессенджеры.

Подписывайтесь на LIGA.Tech в Telegram: лишь принципиальное

Источник

Author: Anonim