• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
13.04.2021
Василий Парфенов
15
9 615

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер

6.7

Репутация самого популярного в мире мессенджера в последнее время терпит один удар за другим. Сначала масштабная утечка личных данных, потом главу Facebook Inc. уличили в использовании приложения-конкурента, а теперь исследователи в области кибербезопасности нашли очередную «бомбу замедленного действия». Оказывается, любого пользователя WhatsApp можно принудительно «отлучить» от мессенджера на произвольный срок, причем для этого нужно знать лишь его номер телефона.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
©Chip Somodevilla, Getty Images / Автор: Ирина Мельникова

Отметим сразу: это уязвимость не столько самого приложения, сколько всей системы поддержки пользователей корпорации Facebook. Большинство запросов обрабатывают автоматически, а чтобы добиться ответа от человека «на том конце», необходимо здорово потрудиться. Злоумышленник может легко воспользоваться таким отношением к клиентам. Как это реализовать, обнаружили два исследователя в области сетевых угроз — Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.

При смене устройства, на котором используется WhatsApp, по любой причине от пользователя требуется шестизначный код. Эта комбинация цифр приходит в виде SMS-сообщения на номер, который необходимо ввести на экране приветствия мессенджера. Однако указываемый номер необязательно должен совпадать с тем, что привязан к SIM-карте в устройстве. На деле это может быть вообще планшет без модуля сотовой связи. Казалось бы, так даже удобнее. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.

На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.

Запрос обработают автоматически и учетную запись временно заблокируют. Настоящий пользователь в этот момент получит сообщение о необходимости снова войти в аккаунт и подтвердить личность кодом из SMS — который он не сможет ввести, ведь 12-часовая блокировка после неправильного ввода активируется на учетную запись, а не отдельное устройство.

Естественно, жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. На то, чтобы получить квалифицированный ответ от сотрудника Facebook Inc., могут уйти не то что часы — дни. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.

Надежных способов защиты от подобной атаки нет. Даже если жертва достучится до поддержки и вернет доступ к аккаунту, злоумышленник благополучно повторит манипуляцию. Двухфакторная аутентификация тоже не спасет: она работает после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу в электронной почте происходит автоматически. Как установили специалисты по кибербезопасности, обрабатывающий письмо алгоритм просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
Чтобы заблокировать аккаунт достаточно отправить в техподдержку WhatsApp письмо с любого электронного адреса. Главное, чтобы оно содержало необходимые ключевые слова / ©Forbes

Возможность «выкинуть» любого человека из мессенджера может быть не самой пугающей опасностью для пользователей. Но если подумать, легко представить ситуацию, когда жертву нужно лишить удобного способа общения или доступа к актуальной информации. Не исключен и вариант просто насолить человеку, которому хочется испортить жизнь.

Как пишет портал Android Police, представители Facebook Inc. комментируют ситуацию обтекаемо. По их словам, описанная ситуация — нарушение пользовательского соглашения мессенджера. Но когда такие тонкости останавливали преступников и как этот факт может помочь людям, ставшим жертвами подобного злоупотребления, — не уточняется.

Журналисты отмечают, что какой-либо реакции от корпорации, скорее всего, ждать не стоит. Такой вывод они сделают, судя по предпринятым ранее мерам в ситуациях, когда специалисты по кибербезопасности находили уязвимости в продуктах Facebook.

Возможно, механизмы обработки обращений в техническую поддержку или тонкости авторизации пользователей изменят, если подобной атаке подвергнут основателя компании Марка Цукерберга. Напомним, в утечке личных данных более чем полумиллиарда пользователей социальной сети оказался и его номер. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Позавчера, 11:32
Алиса Гаджиева

Полторы тысячи лет назад климат в Северном полушарии резко изменился. В Дании так похолодало, что там стало невозможно заниматься сельским хозяйством. Авторы нового исследования считают, что именно этот период был прообразом Фимбульвинтера — зимы, предшествующей Рагнарёку.

13 октября
Evgenia

Ученые создали блестки на основе нанокристаллов целлюлозы. Они по-настоящему биоразлагаемы и выгодно отличаются от традиционных по влиянию на окружающую среду.

13 октября
Березин Александр

SpaceX готова провести пятое летное испытание своей транспортной системы Starship, которая состоит из 71-метровой первой ступени Super Heavy и 50-метрового космического корабля Starship. Во время испытаний компания впервые попытается поймать первую ступень ракеты механизированным захватом, ранее невиданным в истории ракетостроения. Прямая трансляция с площадки начнется в 12.00 по московскому времени.

Позавчера, 11:32
Алиса Гаджиева

Полторы тысячи лет назад климат в Северном полушарии резко изменился. В Дании так похолодало, что там стало невозможно заниматься сельским хозяйством. Авторы нового исследования считают, что именно этот период был прообразом Фимбульвинтера — зимы, предшествующей Рагнарёку.

Вчера, 03:01
Татьяна

Сейчас Япония привлекает людей со всего мира, но так было не всегда. На протяжение десяти тысяч лет архипелаг оставался изолированным от остального мира, пока туда не начали прибывать первые «мигранты» с континента. Это показал генетический анализ останков человека эпохи Яёй.

11 октября
Татьяна

В 1898 году два льва терроризировали лагерь строителей моста через реку Цаво в Кении. Хищники наведывались ночами и похищали людей из палаток. Погибли 28 человек. Людоедов застрелил британский военный Джон Генри Паттерсон, позже он передал останки в Музей естественной истории имени Филда в Чикаго. Ученые из США и Кении исследовали черепа хищников, извлекли ДНК из сохранившихся в зубах волосков и выяснили видовую принадлежность жертв.

Позавчера, 11:32
Алиса Гаджиева

Полторы тысячи лет назад климат в Северном полушарии резко изменился. В Дании так похолодало, что там стало невозможно заниматься сельским хозяйством. Авторы нового исследования считают, что именно этот период был прообразом Фимбульвинтера — зимы, предшествующей Рагнарёку.

25 сентября
Татьяна

Марс не всегда был холодным и сухим, как сейчас. Все больше фактов говорит о том, что миллиарды лет назад там текли водные потоки. А значит, была плотная атмосфера, создающая парниковый эффект и поддерживающая воду в жидком состоянии. Примерно 3,5 миллиарда лет назад вода исчезла, газовая оболочка существенно поредела. Почему? Ответ буквально лежит на поверхности, выяснили американские геологи.

17 сентября
Unitsky String Technologies Inc.

Инженеры из Белоруссии разработали альтернативный маршрут для более быстрой, безопасной и доступной перевозки грузов по сравнению с использованием Северного морского пути (СМП). Проект предусматривает организацию высокоскоростных грузопассажирских перевозок, в том числе транзитных, что станет альтернативой другим видам транспорта, в первую очередь авиации, за счет высокой скорости передвижения и уровня комфорта.

[miniorange_social_login]

Комментарии

15 Комментариев
после нововвидений ватсап стал не просто ненужным но и опасным
-
0
+
Конечно, Цукерберг злодей, хотя здесь на сайте порой блокируют тех пользователей, которые просто А. Березину не угодны... Да и вообще, не в РФ бы эти гримасы технологий осуждать...
    А. Березин блокирует комментарии тех пользователей, который нанесли личное оскорбление ему или, как в вашем случае, членам его семьи. И он полностью в своем праве: комментарии под его текстами -- это комментарии под его текстами. Или вы хотите попробовать и дальше оскорблять меня, уже и под другими текстах, зная, что новые комменты мне видно из любых? Не рекомендую. Не лучшее решение. И да -- отвечать на этот комментарий не надо. Общение с тем, кто оскорбил меня или членов моей семьи не входит в мои планы.
    К чему это вообще?
    +
      ещё комментарии
-
0
+
Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить. --- на самом деле это нормально - изучать продукты конкурентов, а иначе как понять их слабые места или сильные стороны.
Roman Markin
13.04.2021
-
0
+
Поэтому и пользуемся телеграм.
    -
    0
    +
    И телега такая же дыра, как и вацап, и остальные поделия не лучше. Телега еще и батарею жрет как подорванная, вацап скромнее в этом плане. И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя. Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон.
    +
      ещё комментарии
      "И телега такая же дыра, как и вацап, и остальные поделия не лучше" У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. " И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя." А я вот шесть лет пользуюсь (и вместе со мной ~100% работников СМИ), и до сих пор ни разу не видел ни одного канала, на который я не подписывался. "Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон." А вот такое решение как раз будет сплошной дыркой -- как и СМС сегодня.
        -
        0
        +
        У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. ---- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения.
Подтвердить?
Подтвердить?
Причина отклонения
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно