Experţii în securitate cibernetică au făcut o descoperire de ultimă oră. Potrivit acestora, orice persoană, indiferent că este vorba de un hacker sau un alt utilizator, poate forța blocarea unui cont de WhatsApp, doar dacă ştie numărul de telefon al ţintei.
Potrivit suresi citate, atacul este unul destul de simplu, prin intermediul căruia se profită de două probleme diferite din cadrul sistemului de autentificare folosit de WhatsApp.
Astfel, primul pas este blocarea trimiterii codurilor de confirmare a identităţii. De aici, atacatorul poate încerca să se autentifice cu numărul de telefon al victimei de mai multe ori, iar la fiecare încercare, pe numărul victimei, va fi trimis codul din 6 cifre, prin care se confirmă identitatea.
Așa cum este și normal, victima va primi codurile respective, însă nu le va putea folosi pentru că este deja autentificată. Cu toate acestea, după un anumit număr de încercări, WhatsApp va bloca trimiterea codurilor pentru 12 ore.
Conturile de WhatsApp pot fi blocate
Un al doilea pas este la fel de simplu. După blocarea acestora, atacatorul trimite un email serviciului de suport de la WhatsApp în care pretinde că nu mai are drept de acces la propriul cont. În cazul acestei probleme, îi este cerut numărul de telefon, pe care el trebuie să îl cunoască.
Astfel, WhatsApp declanșează un proces de migrare, prin care contul blocat de pe telefonul victimei va rămâne așa, iar cel al atacatorului va fi activat. Speciliștii subliniază faptul că, procesul este unul banal pe care oricine îl poate face, fără a avea cunoștințe avansate în acest domeniu.
De menționat este faptul că, atacul este posibil inclusiv atunci când este activat sistem de autentificare în doi paşi din WhatsApp, dar nu şi dacă utilizatorul adaugă aici propria adresă de email.
Important de menționat este faptul că WhatsApp a inclus opţiunea 2FA, prin care activarea unui dispozitiv poate fi condiţionată de un cod PIN suplimentar, ştiut doar de utilizator, dar şi o adresă de email.
Mai exact, dacă în setările privind autentificarea în doi paşi din WhatsApp se adaugă şi adresa proprie de email, procesul de migrare de pe un dispozitiv pe altul se va face doar pentru cererile care vin de pe adresa de email specificată.
Pentru cei care vor să își activeze această nouă setare, ea poate fi activată de la Settings – Account – Two-Step Verification. Aici se alege un cod din 6 cifre şi, foarte important, se adaugă propria adresă de email. Astfel, în cazul unui atac, atacatorul va fi blocat la cea de a doua parte.