Уведомления
Авторизуйтесь или зарегистрируйтесь, чтобы оценивать материалы, создавать записи и писать комментарии.
Авторизуясь, вы соглашаетесь с правилами пользования сайтом и даете согласие на обработку персональных данных.
В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
Репутация самого популярного в мире мессенджера в последнее время терпит один удар за другим. Сначала масштабная утечка личных данных, потом главу Facebook Inc. уличили в использовании приложения-конкурента, а теперь исследователи в области кибербезопасности нашли очередную «бомбу замедленного действия». Оказывается, любого пользователя WhatsApp можно принудительно «отлучить» от мессенджера на произвольный срок, причем для этого нужно знать лишь его номер телефона.
Отметим сразу: это уязвимость не столько самого приложения, сколько всей системы поддержки пользователей корпорации Facebook. Большинство запросов обрабатывают автоматически, а чтобы добиться ответа от человека «на том конце», необходимо здорово потрудиться. Злоумышленник может легко воспользоваться таким отношением к клиентам. Как это реализовать, обнаружили два исследователя в области сетевых угроз — Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.
При смене устройства, на котором используется WhatsApp, по любой причине от пользователя требуется шестизначный код. Эта комбинация цифр приходит в виде SMS-сообщения на номер, который необходимо ввести на экране приветствия мессенджера. Однако указываемый номер необязательно должен совпадать с тем, что привязан к SIM-карте в устройстве. На деле это может быть вообще планшет без модуля сотовой связи. Казалось бы, так даже удобнее. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.
На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.
Запрос обработают автоматически и учетную запись временно заблокируют. Настоящий пользователь в этот момент получит сообщение о необходимости снова войти в аккаунт и подтвердить личность кодом из SMS — который он не сможет ввести, ведь 12-часовая блокировка после неправильного ввода активируется на учетную запись, а не отдельное устройство.
Интервал между вводом некорректного когда и возможностью запросить новый последовательно увеличивается с нескольких секунд до 12 часов / ©Forbes Пока, наконец, не достигает -1 секунды (вечная блокировка) / ©Forbes
Естественно, жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. На то, чтобы получить квалифицированный ответ от сотрудника Facebook Inc., могут уйти не то что часы — дни. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.
Надежных способов защиты от подобной атаки нет. Даже если жертва достучится до поддержки и вернет доступ к аккаунту, злоумышленник благополучно повторит манипуляцию. Двухфакторная аутентификация тоже не спасет: она работает после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу в электронной почте происходит автоматически. Как установили специалисты по кибербезопасности, обрабатывающий письмо алгоритм просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.
Возможность «выкинуть» любого человека из мессенджера может быть не самой пугающей опасностью для пользователей. Но если подумать, легко представить ситуацию, когда жертву нужно лишить удобного способа общения или доступа к актуальной информации. Не исключен и вариант просто насолить человеку, которому хочется испортить жизнь.
Как пишет портал Android Police, представители Facebook Inc. комментируют ситуацию обтекаемо. По их словам, описанная ситуация — нарушение пользовательского соглашения мессенджера. Но когда такие тонкости останавливали преступников и как этот факт может помочь людям, ставшим жертвами подобного злоупотребления, — не уточняется.
Журналисты отмечают, что какой-либо реакции от корпорации, скорее всего, ждать не стоит. Такой вывод они сделают, судя по предпринятым ранее мерам в ситуациях, когда специалисты по кибербезопасности находили уязвимости в продуктах Facebook.
Возможно, механизмы обработки обращений в техническую поддержку или тонкости авторизации пользователей изменят, если подобной атаке подвергнут основателя компании Марка Цукерберга. Напомним, в утечке личных данных более чем полумиллиарда пользователей социальной сети оказался и его номер. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.
В Бразилии проживает более 200 миллионов человек, немалую долю которых занимают потомки иммигрантов. Колонизация с XV по XX века считается самым масштабным переселением народов в истории. Порядка пяти миллионов человек переселились туда из Европы. Столько же насильно переместили с Африканского континента. Сегодня бразильцы — это наиболее генетически разнородная нация, и одна из самых малоизученных. Поэтому неудивительно, что новая работа по результатам полногеномного анализа населения принесла целый ряд открытий.
Физики долго не могли определиться, является ли висмут топологическим материалом. Детальное исследование показало, что ученым стоит передоговориться о терминах.
Экс-спикер Минобороны Армении Арцрун Ованнисян в эфире армянского Общественного телевидения решил «развеять миф» о Второй мировой войне. В частности, он заявил, что выигрыш Сталинградской битвы был не спасением для страны. Напротив, если бы немцы победили, уверен он, была бы создана объединенная историческая Армения — куда вошли бы земли, сегодня удерживаемые Турцией. Так ли все было на самом деле?
В Бразилии проживает более 200 миллионов человек, немалую долю которых занимают потомки иммигрантов. Колонизация с XV по XX века считается самым масштабным переселением народов в истории. Порядка пяти миллионов человек переселились туда из Европы. Столько же насильно переместили с Африканского континента. Сегодня бразильцы — это наиболее генетически разнородная нация, и одна из самых малоизученных. Поэтому неудивительно, что новая работа по результатам полногеномного анализа населения принесла целый ряд открытий.
Сегодня исполнилось 38 лет с момента первого летного испытания последнего советского космического гиганта — сверхтяжелой ракеты-носителя «Энергия». Ее запустили 15 мая 1987 года. Технически успешный проект дошел до полностью рабочего изделия, безупречно выполнившего два испытательных полета. Но так и не дошел до летной эксплуатации по причинам, от него уже не зависевшим. А запуск ракеты прошел тогда безупречно, хотя и не без особенностей — и одним из участников этих испытаний был автор Naked Science. Но обо всем по порядку.
Споры вокруг выделения антропоцена в самостоятельную геологическую эпоху не утихли после официального отказа Международного союза геологических наук, наоборот, разожглись сильнее. Шведские геологи, придерживаясь логики союза, решили оценить легитимность других периодов кайнозойской эры и выяснили, что доказательства в пользу голоцена слабее, чем у антропоцена. Если идти дальше, то и половину ступеней кайнозоя можно откинуть.
Да, с волосами и люком все так. У космонавта Суниты Уильямс волосы на МКС плавали свободно, а у Кэти Пэрри и прочих в полете 14 апреля 2025 года — нет. Но это не значит, что суборбитального космического полета первого чисто женского экипажа не было или что он был инсценировкой. Причем, в общем-то, чтобы понять это, даже не нужно обладать специальными знаниями.
Мощнейшее отключение электроэнергии за последние 20 лет истории Европы случилось уже неделю назад, а испанские власти пока так и не объявили о его причинах. Это логично: как мы покажем ниже, ответ на вопрос, кто виноват, получится очень неполиткорректным. И, более того, противоречащим линии правящей в Испании партии. Но мы живем за тысячи километров от нее, поэтому можем себе позволить аполитичный анализ случившегося. Так что же произошло на самом деле и каковы наши шансы увидеть подобное у себя дома?
Инженеры компании UST Inc. разработали передовой рельсовый беспилотник, способный передвигаться на скорости до 500 километров в час. Юнибус U5-75304 предназначен для перевозки пассажиров и может в перспективе заменить среднемагистральную авиацию. Давайте узнаем, как конструктивные особенности обеспечивают продолжительное движение на больших скоростях, комфорт и безопасность пассажирам.
Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.
ПонятноИз-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.
ПонятноНаши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.
ПонятноМы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.
ПонятноМы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.
Понятно
Комментарии