Poważny problem WhatsApp
Nowo ujawniona luka – czy raczej: niedoskonałość – w zabezpieczeniach obejmuje dwa oddzielne procesy WhatsApp. Oba mają fundamentalną słabość. Obie one sumarycznie mogą doprowadzić do dezaktywowania WhatsAppa i uniemożliwienie jego ponownej aktywacji na dany numer telefonu.
Czytaj także: Popularność komunikatora Signal eksplodowała. Czy warto na niego przejść z WhatsApp?
Kiedy po raz pierwszy instalujesz WhatsApp na swoim telefonie lub zmieniasz swój telefon, platforma wysyła kod SMS do weryfikacji konta. Gdy wpiszesz właściwy kod, aplikacja poprosi o podanie numeru weryfikacji dwuskładnikowej, aby upewnić się, że to naprawdę Ty. Na tym etapie ukazuje się pierwsza ze słabości. Każdy może zainstalować WhatsApp na SWOIM telefonie i wpisać TWÓJ numer telefonu na ekranie weryfikacji. To Ty następnie będziesz otrzymywać SMS-y i połączenia z WhatsApp z sześciocyfrowym kodem. Zobaczysz również powiadomienie aplikacji WhatsApp, informujące o tym, że zażądano kodu i ostrzegające przed tym, aby go nie udostępniać.
Intruz może to zrobić, używając Twojego numeru telefonu WhatsApp, gdy będziesz nadal normalnie korzystać z aplikacji. Cyberprzestępcy mogą żądać powtórnego wysyłania kodów i wprowadzać błędne dane w swojej aplikacji do Twojego numeru telefonu. Otrzymasz kody SMS-em, być może także połączenia, ale nic nie możesz z nimi zrobić, nie ma gdzie ich wpisywać. A więc ignorujesz to wszystko. Problem polega na tym, że proces weryfikacji WhatsApp ogranicza liczbę kodów, które można wysłać.
Po kilku próbach WhatsApp osoby atakującej wyświetli komunikat o możliwości ponownego wysłania SMS-a/nawiązania połączenia dopiero po 12 godzinach. Nowe kody nie będą mogły być generowane. Tu pojawia się problem dla faktycznego właściciela numeru.
Osoba atakująca w trakcie 12-godzinnego okienka czasowego może zarejestrować na WhatsApp nowy adres e-mail i wysłać wiadomość na adres support(at)whatsapp.com. Powód? Rzekoma utrata konta. We wiadomości prośba o deaktywację numeru – numeru ofiary. Pracownik firmy nie ma możliwości zweryfikowania tego, czy wiadomość wysłał faktyczny właściciel danego numeru telefonu – nie istnieje tu żaden proces weryfikacji. W tym momencie rusza automatyczny proces deaktywacji konta.
Po całym zamieszaniu nagle tracisz dostęp do konta. Wszystko przez…. czyjąś złośliwość – nawet jeśli włączyłeś weryfikację dwuskładnikową na koncie.
WhatsApp, Telegram czy Signal?
Czyżby wiele osób otrzymało właśnie kolejny dobry argument za przesiadką na otwartoźródłowy, bezpieczny komunikator Signal? Takie rozwiązanie polecamy. Alternatywą dla niektórych w dalszym ciągu pozostaje Telegram.
Źródło: Forbes