Apple | iPhone | iPad

Apple | Iphone | Ipad
13 апреля 2021

В WhatsApp была обнаружена новая уязвимость.

Теперь злоумышленник, зная номер телефона предполагаемой жертвы, может удаленно деактивировать учетную запись на устройстве пользователя. При этом вернуть доступ к аккаунту уже будет нельзя, и даже двухфакторная аутентификация не остановит хакера.

Работает это так: злоумышленник пытается зарегистрировать учетную запись на известный ему номер телефона, владельцу приходит код подтверждения, который никому нельзя сообщать, получая такой код владелец обычно его игнорирует, а злоумышленник вводит комбинацию наугад, пока система не блокирует на 12 часов попытку регистрации.

После этого злоумышленник создает "левый" почтовый ящик с которого отправляет письмо в службу поддержки WhatsApp с просьбой деактивировать аккаунт и указывает там номер жертвы. Система автоматизирована и блокировка происходит автоматически без проверки.

«Ваш номер больше не зарегистрирован в WhatsApp на этом телефоне, так как он был зарегистрирован на другом телефоне. Если вы этого не сделали, подтвердите свой номер телефона, чтобы войти в свою учетную запись», — уведомляет пользователя мессенджер.

Пользователь пытается восстановить свою учетку, но отправка проверочных кодов заблокирована на 12 часов, если злоумышленник через 12 часов продолжит по кругу вводить не верные коды, то система опять заблокирует отправку кодов на те же 12 часов. А вот на третьем круге таких манипуляций система выдаст сообщение, что следующий ввод возможен только через -1 секунду, и больше возможности ввести код для входа в WhatsApp не будет — на этом этапе мессенджер просто «ломается». Больше пользователь зарегистрироваться в WatsApp не сможет.