Wystarczy, że mają twój numer telefonu - niepokojąca luka w WhatsAppie
Badacze bezpieczeństwa natrafili na groźną lukę w komunikatorze WhatsApp. Dzięki niej osoba atakująca, ma możliwość zawieszania kont ofiar. Wszystko czego potrzebuje, to ich numerów telefonów - czytamy w serwisie Android Police.
Nowoodkryty błąd wymaga od atakującego dwóch kroków. W pierwszym z nich, oszust instaluje oprogramowanie na całkowicie nowym urządzeniu, a podczas aktywacji wprowadza numer ofiary. Aplikacja chcąc zidentyfikować i zweryfikować właściciela numeru, wykorzystuje dwuskładnikowy system uwierzytelniania. Ten po wielu powtórzonych i nieudanych próbach logowania, blokuje konto użytkownika na 12 godzin.
W momencie gdy konto niczego nie świadomej osoby jest zablokowane, przestępca wysyła wiadomość pomocy technicznej do WhatsApp z własnego adresu e-mail. W tej treści sugeruje, że telefon został zgubiony lub skradziony i prosi o dezaktywowanie konta. WhatsApp "weryfikuje" to, wysyłając wiadomość e-mail z odpowiedzią, a to jak można się domyślić, szybko kończy się całkowitą blokadą. Co więcej - atakujący może powtórzyć ten proces kilka razy z rzędu, a tym samym możemy przez naprawdę długi czas nie mieć dostępu do własnego konta.
Facebook, właściciel komunikatora WhatsApp, unika wypowiedzi na temat wykrytego błędu. Wprawdzie firma ostrzega, że wykorzystanie tej luki narusza warunki korzystania z usługi, to jednak istnieją małe szanse, że jakikolwiek cyberprzestępca weźmie sobie te słowa do serca.
Warto także pamiętać, że choć cała procedura wygląda bardzo niepokojąco, to jednak atak wykonany przy udziale opisywanej luki jedynie blokuje dostęp do naszego konta. Na całe szczęście nie zostaje ono w żaden sposób przejęte, a nasze poufne wiadomości, przynajmniej w teorii, wciąż pozostaną zabezpieczone.
Inne niebezpieczeństwa czekające na użytkowników WhatsAppa
O wiele większym zagrożeniem wydaje się być plaga fałszywych wiadomości, od dłuższego czasu nękających użytkowników WhatsAppa. Jakiś czas temu cyberprzestępcy wykorzystywali kampanie dotyczącą rzekomego "odnowienia konta". Nieświadomy użytkownik miał potwierdzić spreparowaną operację sześciocyfrowym kodem PIN, co natychmiast skutkowało utratą ważnych, prywatnych danych.
Niedawno oszuści poszli o krok dalej i wysyłają wiadomości SMS na telefony potencjalnych ofiar, zawierające link oraz kod aktywacyjny do aplikacji. Chwilę później na komunikatorze odzywa się osoba, którą posiadamy na liście kontaktów i we wiadomości przeprasza za SMS-a, podkreślając, że wysłała go przez przypadek i prosząc o przesłanie wspomnianego kodu. Podanie kodu oraz wykonanie całej procedury zgodnie z odpowiednią ścieżką będzie mogło pozwolić atakującemu na przejęcie konta.
W takich przypadkach, twórcy programu zalecają nie reagowanie na tego typu wiadomości oraz zgłaszanie wszystkich kont, które wysyłają podobne treści.
