Исследователи безопасности выявили серьезную уязвимость в мессенджере WhatsApp, которая позволяет злоумышленникам блокировать аккаунты пользователей. Для этого достаточно знать их номер телефона.
- Как это происходит
Сначала злоумышленник запрашивает и неправильно угадывает несколько SMS-кодов для двухфакторной аутентификации, чтобы WhatsApp заблокировал вход в систему на его устройстве на 12 часов.
После этого он регистрирует новый адрес электронной почты и отправляет письмо в службу поддержки с просьбой деактивировать номер из-за утери или кражи учетной записи. Поскольку WhatsApp автоматически отключает номер, не проверяя подлинность запроса, то аккаунт может быть заблокирован.
Хотя теоретически пользователи могут возобновить доступ к аккаунту в течение 12 часов, злоумышленники могут попытаться заблокировать аккаунт навсегда, повторив запросы кода еще два раза и дождавшись третьего периода, чтобы отправить письмо в службу поддержки. Если они это сделают, то пользователю ничего не останется, кроме как обратиться в WhatsApp за помощью в восстановлении учетной записи.
- Реакция WhatsApp
В компании пока не предложили решения для этой проблемы. При этом они назвали такие ситуации «маловероятными», а также отметили, что те, кто попытаются атаковать других пользователей таким образом, нарушат правила использования сервиса.
