Нападачи су пронашли начин да блокирају ВхатсАпп

како обавештава Форбес, нападачи су смислили нови начин да погоршају живот ВхатсАпп корисника. Све што треба да урадите је да знате свој телефонски број - а чак ни двостепена потврда идентитета неће наштетити.

То делује овако. Нападач инсталира ВхатсАпп на свој паметни телефон и улази твој број. За ауторизацију, његов мессенгер тражи код - који долази твој телефон, али га игноришете јер га нисте тражили и мислите да је грешка. Проблем је што добијање кода није био циљ.

Нападач изнова и изнова уноси насумичне кодове, чак и не покушавајући да погоди тачан. Након неколико неуспелих покушаја, систем блокира слање нових кодова на 12 сати. Дакле, ваш мессенгер ради у реду, али слање ауторизационих кодова је обустављено. У теорији, ово неће представљати проблем ако за то време не будете морали поново да пролазите верификацију.

Али онда исти нападач креира нову е-пошту и пише техничкој подршци да му је украден телефонски број [ваш број] и тражи да деактивира повезани налог. Техничка подршка ни на који начин не проверава да ли му припада тај број и деактивира налог.

И тек у овој фази корисник почиње да има проблема: појављује се порука да телефонски број није регистрован у ВхатсАпп. Можете да пошаљете верификациони код да бисте се покушали пријавити на свој налог. Али систем упозорава да сте направили превише неуспешних покушаја уноса и морате чекати 12 сати. Уношење кодова које сте раније добили не функционише.

Ако сте управо постали жртва лоше шале, након 12 сати можете поново добити приступ. Међутим, нападач можда неће послати захтев техничкој подршци, већ ће поновити поступак тражења кодова након што тајмер истекне. Трећи пут (односно након 24 сата од првог напада) систем се поквари: тајмер не приказује 12 сати, већ -1 секунду - и на оба паметна телефона. Немогуће је ово поправити.

Ако након тога пошаљете захтев техничкој подршци, налог се трајно деактивира јер је тајмер покварен. Ово је најгори могући развој догађаја.

Како је то могуће?

Разлог је једноставан: у ствари, мессенгер је везан само за телефонски број и не упоређује оперативни систем и идентификациони број уређаја. Поред тога, сами корисници немају никакву заштиту од страна: ако у мессенгер унесете нечији број и налог је повезан са тим бројем, он ће бити приказан. Не можете ограничити видљивост свог налога.

Стога није тешко открити ко је регистрован за ВхатсАпп. У исто време, бројеви телефона корисника редовно исцури - попут недавних масовних догађаја шљива Фацебоок базе података.

Није тешко решити оба проблема: довољно је дати корисницима могућност да сакрију свој налог од претраживања и додавања начин идентификације приликом уласка са новог уређаја: на пример, потврдите га путем већ овлашћеног у систему справица, направа.

Шта ако покушају да блокирају рачун?

Представници ВхатсАпп-а рекли су да би жртве таквих напада требале контактирати техничку подршку: такве акције су у супротности са правилима за употребу платформе. Вреди то урадити чим приметите СМС са ВхатсАпп приступним кодовима које нисте тражили.

Такође су саветовали повезивање е-поште са вашим налогом како би се олакшало враћање приступа. Није било изјава о повећању сигурности тако да аутсајдер не може блокирати ваш мессенгер.