Ak patríte k používateľom komunikačnej platformy WhatsApp, tak by ste počas najbližších dní mali poriadne zbystriť pozornosť.
Bezpečnostní výskumníci Luis Márquez Carpintero a Ernesto Canales Pereña identifikovali kritickú bezpečnostnú dieru, ktorá útočníkom efektívne umožňuje zablokovať ľubovoľné používateľské konto. Stačí im na to poznať len telefónne číslo obete. Na nepríjemnú skutočnosť upozornil portál AndroidAuthority.
Stačí telefónne číslo
Celé zablokovanie účtu nič netušiacej obete vyzerá byť až bizarne jednoduché. Útočník sa najskôr pokúsi opakovanie prihlásiť do účtu, pričom pri každom pokuse zadá nesprávny SMS kód pre overenie totožnosti. Po niekoľkých neúspešných pokusoch dochádza k automatizovanému zablokovaniu účtu na 12 hodín. Zo strany WhatsAppu ide o bezpečnostné opatrenie, a práve to je ďalej zneužité.
Po dočasnom zablokovaní účtu dochádza ku takmer okamžitému kontaktovaniu technickej podpory WhatsAppu so žiadosťou o deaktivovanie príslušného telefónneho čísla z dôvodu straty zariadenia alebo krádeže účtu. Technická podpora automaticky, bez bližšieho skúmania žiadosti, číslo deaktivuje. Skutočný používateľ tým príde o možnosť prihlásiť sa do svojho účtu.
Princíp je geniálny vo svojej jednoduchosti. Používateľ, ktorého účet je v prvom kroku dočasne zablokovaný na 12 hodín, si celý čas myslí, že všetko je v poriadku a útočník sa len pokúsil uhádnuť heslo. Všetko teda vyzerá fajn, ochrana funguje a účet je v bezpečí. Skutočnosť je bohužiaľ iná. Útok sa v tomto momente nachádza len v polovici a končí to úplnou stratou prístupu.
Prepracovanejšia verzia útoku
Bezpečnostní výskumníci dokonca informujú o tom, že niektoré útoky môžu byť o čosi prepracovanejšie. Prvá fáza útoku sa zopakuje trikrát po sebe, čím dôjde k dočasnému zablokovaniu účtu, ktorý už nie je v platnosti len spomínaných 12 hodín. Pre odblokovanie vtedy už treba kontaktovať technickú podporu WhatsAppu, pretože odpočet do obnovenia prihlasovania ukazuje “-1 sekúnd”.
Táto skutočnosť má v praxi dva rozmery. Jednak majú útočníci viac času na vykonanie svojho diela, no súčasne oficiálna technická podpora teoreticky očakáva, že majiteľ účtu ju bude kontaktovať. Žiadosť o zrušenie priradeného telefónneho čísla, hoci neoprávnená, vtedy môže nabrať na vierohodnosti.
Ako sa brániť?
WhatsApp vo vyjadrení pre portál Forbes nekomentoval akým spôsobom plánuje proti možnému zneužívaniu bojovať. Používateľom bolo akurát odporučené, aby pri používaní dvojfaktorovej autentifikácie využívali aj e-mail.
V prípade, že si na svojom účte všimnete podozrivú aktivitu, nečakajte. Technickú podporu je potrebné kontaktovať okamžite vo chvíli, kedy dorazí prvá nevyžiadaná správa s prístupovým SMS kódom. Len tak predídete ďalším komplikáciám a možnej strate účtu.
