Виявлений серйозний пролом в системі безпеки WhatsApp, який може бути використаний зловмисниками, щоб заблокувати ваш обліковий запис. Єдина інформація, яка потрібна зловмисникові, – це ваш номер телефону.
Спочатку хакер встановлює WhatsApp на новий телефон, використовуючи свій номер телефону для активації послуги. Далі WhatsApp намагається перевірити, що це дійсно ви, надсилаючи код підтвердження. Однак зловмисник запитує код знову і знову, що проводить до блокування облікового запису на 12 годин.
На наступному етапі зловмисник відправляє електронного листа в WhatsApp, заявляючи, що його телефон (який насправді є вашим телефоном) був вкрадений або загублений, і просить заблокувати обліковий запис WhatsApp, пов’язану з цим номером.
Після цього запиту WhatsApp відправляє електронний лист, що підтверджує, що обліковий запис був заблокований, без запиту у зловмисника будь-якої інформації, яка може довести, що запит на призупинення облікового запису надійшов від законного власника зазначеної облікового запису.
Пара дослідників безпеки – Луїс Маркес Карпінтерія (Luis Marquez Carpintero) і Ернесто Каналес Перена (and Ernesto Canales Perena) – провели експеримент, який довів, що ця атака може заблокувати вам доступ до вашого профілю WhatsApp. При цьому ваші повідомлення залишаться конфіденційними.
Компанія WhatsApp поки нічого не повідомила про те, як вона збирається закрити цю діру в системі безпеки.