Angripere fant en måte å blokkere WhatsApp på

hvordan informerer Forbes, angripere har kommet opp med en ny måte å gjøre livet til WhatsApp-brukere verre. Alt du trenger å gjøre er å kjenne telefonnummeret ditt - og til og med tofaktorautentisering vil ikke skade.

Det fungerer slik. Angriperen installerer WhatsApp på smarttelefonen sin og går inn din Nummer. For autorisasjon ber hans budbringer om en kode - som kommer til din telefon, men du ignorerer det fordi du ikke ba om det og syntes det er en feil. Problemet er at det ikke var målet å få koden.

Angriperen skriver inn tilfeldige koder igjen og igjen, uten å prøve å gjette den riktige. Etter flere mislykkede forsøk blokkerer systemet sending av nye koder i 12 timer. Dermed fungerer messenger din bra, men sending av autorisasjonskoder er suspendert. I teorien vil dette ikke være et problem hvis du ikke trenger å gå gjennom verifisering igjen i løpet av denne tiden.

Men så oppretter den samme angriperen en ny e-post og skriver til teknisk support at telefonnummeret hans [nummeret ditt] ble stjålet, og ber om å deaktivere den tilknyttede kontoen. Teknisk støtte sjekker ikke på noen måte om nummeret tilhører ham, og deaktiverer kontoen.

Og bare på dette stadiet begynner brukeren å få problemer: det vises en melding om at telefonnummeret ikke er registrert hos WhatsApp. Du kan sende en bekreftelseskode for å prøve å logge på kontoen din. Men systemet advarer om at du har gjort for mange mislykkede inngangsforsøk og må vente 12 timer. Å skrive inn kodene du mottok tidligere fungerer ikke.

Hvis du bare ble offer for en dårlig vits, kan du etter 12 timer få tilgang igjen. Imidlertid kan en angriper ikke sende en forespørsel til teknisk støtte, men i stedet gjenta prosessen med å be om koder etter at tidtakeren utløper. Den tredje gangen (det vil si etter 24 timer fra det første angrepet) går systemet i stykker: timeren viser ikke 12 timer, men -1 sekund - og på begge smarttelefonene. Det er umulig å fikse dette.

Hvis du deretter sender en forespørsel til teknisk støtte, deaktiveres kontoen permanent, fordi timeren er brutt. Dette er den verste mulige utviklingen av hendelser.

Hvordan er dette mulig?

Årsaken er enkel: Messenger er faktisk bare bundet til telefonnummeret og sammenligner ikke operativsystemet og enhetsidentifikasjonsnummeret. I tillegg har ikke brukerne noen beskyttelse mot utenforstående: Hvis du skriver inn noens nummer i messenger og en konto er koblet til dette nummeret, vil det vises. Du kan ikke begrense synligheten til kontoen din.

Dermed er det ikke vanskelig å finne ut hvem som er registrert hos WhatsApp. Samtidig kommer brukernes telefonnummer jevnlig opp i lekkasjer - som den siste tiden plomme Facebook-databaser.

Det er ikke vanskelig å fikse begge problemene: det er nok å gi brukerne muligheten til å skjule kontoen sin fra søket og legge til metode for identifikasjon når du går inn fra en ny enhet: for eksempel bekreft den gjennom en allerede autorisert en i systemet duppeditt.

Hva om de prøver å blokkere kontoen?

WhatsApp-representanter sa at ofre for slike angrep bør kontakte teknisk støtte: slike handlinger er i strid med reglene for bruk av plattformen. Det er verdt å gjøre dette så snart du merker en SMS med WhatsApp-tilgangskoder som du ikke ba om.

De anbefalte også å koble en e-post til kontoen din for å gjøre det lettere å gjenopprette tilgangen. Det var ingen uttalelser om å øke sikkerheten, slik at en utenforstående ikke kunne blokkere budbringeren din.