WhatsApp ma poważną lukę. Analitycy odkryli sposób, w jaki można odciąć kogoś od jego konta, a do ataku wystarczy jedynie znać numer telefonu ofiary. Pewną linią obrony jest weryfikacja dwuetapowa, ale i to rozwiązanie nie jest bez wad.

Specjaliści odkryli sposób, w jaki można zablokować czyjeś konto. Atak jest dość prosty – wystarczy, że po instalacji aplikacji atakujący podadzą numer telefonu ofiary. WhatsApp wysyła wtedy wiadomość na numer telefonu ofiary, by potwierdzić, że należy do niej. Jeśli SMS przyjdzie na to samo urządzenie, na którym jest świeżo zainstalowany komunikator, wszystko jest w porządku.

Jeśli jednak tak nie jest, zaczynają się problemy. Atakujący nie poprzestaną na jednym kodzie, a wysłanie zbyt wielu prób autoryzacji skończy się blokadą na 12 godzin. Ofiara na swoim telefonie zobaczy kilka SMS-ów autoryzacyjnych, a potem informację o problemie. Nic z tym nie może zrobić. Zresztą na razie nie ma zagrożenia. Problemy zaczynają się, gdy atakujący przejdą do drugiego etapu.

Nie można liczyć na Facebooka

W tym momencie można napisać e-mail do wsparcia WhatsAppa z prośbą o blokadę numeru telefonu. Powód może być dowolny, na przykład kradzież telefonu. Nikt z obsługi klienta nie wie, do kogo należy który numer. W tym momencie prawowity właściciel konta zostanie wylogowany. Jeśli uda mu się zalogować ponownie, atakujący mogą powtarzać ten proces, aż całkowicie uda im się kompletnie dezaktywować konto.

Weryfikacja dwuetapowa może oczywiście pomóc, ale nie gwarantuje pełnego bezpieczeństwa. Problem tkwi w SMS-ach, które da się przechwycić nawet bez przejmowania kontroli nad kartą SIM ofiary. Taka już ich natura. Dlatego przy okazji warto dodać do konta WhatsApp także adres e-mail jako dodatkowe zabezpieczenie… albo w ogóle przenieść się na Signal lub Telegram.

Zobacz: WhatsApp musi odejść. Co w zamian? Signal i Telegram to nie koniec opcji

WhatsApp nie komentuje odkrycia i zapewne nic z nim nie zrobi. To kolejny cios w komunikator, który przez nową politykę prywatności stracił zaufanie wielu użytkowników. Nawet Mark Zuckerberg nie chce używać komunikatorów Facebooka, a to powinno dać nam do myślenia.

Źródło zdjęć: wł.

Źródło tekstu: Forbes