Angribere fandt en måde at blokere WhatsApp på

hvordan informerer Forbes, angribere er kommet op med en ny måde at gøre WhatsApp-brugernes liv værre. Alt du skal gøre er at kende dit telefonnummer - og endda tofaktorautentificering skader ikke.

Det fungerer sådan her. Angriberen installerer WhatsApp på sin smartphone og går ind dit nummer. For godkendelse beder hans messenger om en kode - som kommer til dit telefon, men du ignorerer det, fordi du ikke har bedt om det og synes, det er en fejltagelse. Problemet er, at det ikke var målet at få koden.

Angriberen indtaster tilfældige koder igen og igen uden at prøve at gætte den rigtige. Efter flere mislykkede forsøg blokerer systemet afsendelsen af ​​nye koder i 12 timer. Således fungerer din messenger fint, men afsendelsen af ​​autorisationskoder er suspenderet. I teorien vil dette ikke være et problem, hvis du ikke har brug for at gennemgå verifikation igen i løbet af denne periode.

Men så opretter den samme angriber en ny e-mail og skriver til teknisk support, at hans telefonnummer [dit nummer] blev stjålet og beder om at deaktivere den tilknyttede konto. Teknisk support kontrollerer ikke på nogen måde, om nummeret tilhører ham, og deaktiverer kontoen.

Og først på dette tidspunkt begynder brugeren at have problemer: der vises en meddelelse om, at telefonnummeret ikke er registreret hos WhatsApp. Du kan sende en verifikationskode for at prøve at logge ind på din konto. Men systemet advarer om, at du har foretaget for mange mislykkede inputforsøg og skal vente 12 timer. Indtastning af de koder, du modtog tidligere, fungerer ikke.

Hvis du bare blev offer for en dårlig vittighed, kan du efter 12 timer genvinde adgangen. En angriber sender dog muligvis ikke en anmodning til teknisk support, men gentager i stedet processen med at anmode om koder, når timeren udløber. Den tredje gang (det vil sige efter 24 timer fra det første angreb) går systemet i stykker: timeren viser ikke 12 timer, men -1 sekund - og på begge smartphones. Det er umuligt at løse dette.

Hvis du derefter sender en anmodning til teknisk support, deaktiveres kontoen permanent, fordi timeren er brudt. Dette er den værst mulige udvikling af begivenheder.

Hvordan er det muligt?

Årsagen er enkel: Messenger er faktisk kun bundet til telefonnummeret og sammenligner ikke operativsystemet og enhedens identifikationsnummer. Derudover har brugerne ikke nogen beskyttelse mod udenforstående: Hvis du indtaster en persons nummer i messenger og en konto er linket til dette nummer, vises det. Du kan ikke begrænse din kontos synlighed.

Således er det ikke svært at finde ud af, hvem der er registreret hos WhatsApp. På samme tid overflader brugernes telefonnumre regelmæssigt i lækager - ligesom den nylige massive blomme Facebook-databaser.

Det er ikke svært at løse begge problemer: det er nok at give brugerne mulighed for at skjule deres konto fra søgningen og tilføje metode til identifikation ved indtastning fra en ny enhed: Bekræft det f.eks. via en allerede autoriseret en i systemet gadget.

Hvad hvis de prøver at blokere kontoen?

WhatsApp-repræsentanter sagde, at ofre for sådanne angreb skulle kontakte teknisk support: sådanne handlinger er i strid med reglerne for brug af platformen. Det er værd at gøre dette, så snart du bemærker en SMS med WhatsApp-adgangskoder, som du ikke bad om.

De rådede også til at linke en e-mail til din konto for at gøre det lettere at gendanne adgangen. Der var ingen udsagn om at øge sikkerheden, så en outsider ikke kunne blokere din messenger.