В мессендежере WhatsApp обнаружили беспрецедентную дыру в безопасности. Ошибка позволяет полностью заблокировать действие любого аккаунта без использования каких-либо дополнительных средств — нужен лишь номер телефона пользователя. О находке изданию Forbes сообщили исследователи безопасности Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перена (Ernesto Canales Pereña). Отмечается, что в настоящее время никакого решения данной проблемы не предусмотрено.
Блокировка аккаунта осуществляется всего в два этапа. Сначала злоумышленник устанавливает WhatsApp на новое устройство и вводит номер телефона жертвы якобы для активации. Двухфакторная система аутентификации присылает первый код безопасности оригинальному пользователю. После нескольких таких впоследствии повторных и неудачных попыток аккаунт становится заблокированным. Несмотря на то, что процесс временный (длительность блокировки составляет 12 часов), злоумышленник может сделать его чуть ли не постоянным.
После успешной блокировки злоумышленник приступает ко второй части плана. При уже заблокированном аккаунте злоумышленник запрашивает сообщение от службы поддержки для восстановления доступа, указывая свой адрес электронной почты и выдавая себя за жертву. Он утверждает, что устройство было потеряно или украдено, поэтому аккаунт должен быть деактивирован. Служба поддержки приостанавливает действие аккаунта и подтверждает запрос отправкой ответного письма без прочих проверок. Если злоумышленник будет постоянно повторять процесс, то можно создать полупостоянную блокировку.
Новость дополняется...
Блокировка аккаунта осуществляется всего в два этапа. Сначала злоумышленник устанавливает WhatsApp на новое устройство и вводит номер телефона жертвы якобы для активации. Двухфакторная система аутентификации присылает первый код безопасности оригинальному пользователю. После нескольких таких впоследствии повторных и неудачных попыток аккаунт становится заблокированным. Несмотря на то, что процесс временный (длительность блокировки составляет 12 часов), злоумышленник может сделать его чуть ли не постоянным.
После успешной блокировки злоумышленник приступает ко второй части плана. При уже заблокированном аккаунте злоумышленник запрашивает сообщение от службы поддержки для восстановления доступа, указывая свой адрес электронной почты и выдавая себя за жертву. Он утверждает, что устройство было потеряно или украдено, поэтому аккаунт должен быть деактивирован. Служба поддержки приостанавливает действие аккаунта и подтверждает запрос отправкой ответного письма без прочих проверок. Если злоумышленник будет постоянно повторять процесс, то можно создать полупостоянную блокировку.
Новость дополняется...