В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер — Naked Science
10 минут
Василий Парфенов
14

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер

6.7

Репутация самого популярного в мире мессенджера в последнее время терпит один удар за другим. Сначала масштабная утечка личных данных, потом главу Facebook Inc. уличили в использовании приложения-конкурента, а теперь исследователи в области кибербезопасности нашли очередную «бомбу замедленного действия». Оказывается, любого пользователя WhatsApp можно принудительно «отлучить» от мессенджера на произвольный срок, причем для этого нужно знать лишь его номер телефона.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
©Chip Somodevilla, Getty Images

Отметим сразу: это уязвимость не столько самого приложения, сколько всей системы поддержки пользователей корпорации Facebook. Большинство запросов обрабатывают автоматически, а чтобы добиться ответа от человека «на том конце», необходимо здорово потрудиться. Злоумышленник может легко воспользоваться таким отношением к клиентам. Как это реализовать, обнаружили два исследователя в области сетевых угроз — Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.

При смене устройства, на котором используется WhatsApp, по любой причине от пользователя требуется шестизначный код. Эта комбинация цифр приходит в виде SMS-сообщения на номер, который необходимо ввести на экране приветствия мессенджера. Однако указываемый номер необязательно должен совпадать с тем, что привязан к SIM-карте в устройстве. На деле это может быть вообще планшет без модуля сотовой связи. Казалось бы, так даже удобнее. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.

На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.

Запрос обработают автоматически и учетную запись временно заблокируют. Настоящий пользователь в этот момент получит сообщение о необходимости снова войти в аккаунт и подтвердить личность кодом из SMS — который он не сможет ввести, ведь 12-часовая блокировка после неправильного ввода активируется на учетную запись, а не отдельное устройство.

Естественно, жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. На то, чтобы получить квалифицированный ответ от сотрудника Facebook Inc., могут уйти не то что часы — дни. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.

Надежных способов защиты от подобной атаки нет. Даже если жертва достучится до поддержки и вернет доступ к аккаунту, злоумышленник благополучно повторит манипуляцию. Двухфакторная аутентификация тоже не спасет: она работает после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу в электронной почте происходит автоматически. Как установили специалисты по кибербезопасности, обрабатывающий письмо алгоритм просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
Чтобы заблокировать аккаунт достаточно отправить в техподдержку WhatsApp письмо с любого электронного адреса. Главное, чтобы оно содержало необходимые ключевые слова / ©Forbes

Возможность «выкинуть» любого человека из мессенджера может быть не самой пугающей опасностью для пользователей. Но если подумать, легко представить ситуацию, когда жертву нужно лишить удобного способа общения или доступа к актуальной информации. Не исключен и вариант просто насолить человеку, которому хочется испортить жизнь.

Как пишет портал Android Police, представители Facebook Inc. комментируют ситуацию обтекаемо. По их словам, описанная ситуация — нарушение пользовательского соглашения мессенджера. Но когда такие тонкости останавливали преступников и как этот факт может помочь людям, ставшим жертвами подобного злоупотребления, — не уточняется.

Журналисты отмечают, что какой-либо реакции от корпорации, скорее всего, ждать не стоит. Такой вывод они сделают, судя по предпринятым ранее мерам в ситуациях, когда специалисты по кибербезопасности находили уязвимости в продуктах Facebook.

Возможно, механизмы обработки обращений в техническую поддержку или тонкости авторизации пользователей изменят, если подобной атаке подвергнут основателя компании Марка Цукерберга. Напомним, в утечке личных данных более чем полумиллиарда пользователей социальной сети оказался и его номер. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
6 часов назад
10 минут
Мария Азарова

Исследование американских кардиологов показало, что алкоголь практически неминуемо влияет на сердечный ритм, приводя к фибрилляции предсердий. Всего одна порция вина, пива или другого спиртного более чем в шесть раз повысила риск приступа в течение следующих четырех часов.

Вчера, 22:01
5 минут
Мария Азарова

В среднем интернет-пользователь тратит 32 секунды на выполнение задачи CAPTCHA, подсчитали эксперты. Таким образом, в сумме у человечества ежедневно уходит 500 лет на доказательство того, что мы не роботы.

Позавчера, 10:05
2 минуты
Sergei Sobol

Обращаете внимание, какой творческий подход проявляют дизайнеры при создании электрических мотоциклов? Каждый из них уникален своими особенностями, и наш сегодняшний фаворит – концептуальный электрический байк BMW Motorrad – не исключение. Он создан дизайнером из Валенсии Яго Валино (Iago Valino), вдохновившимся кастомными мотоциклами мастерской El Solitario. А эстетика байка навеяна культовыми мотоциклами Ural, в которые советские инженеры добавили собственный взгляд на традиции BMW.

Позавчера, 12:51
39 минут
Александр Березин

В июне 2020 года канадские астрономы рассчитали, что в Млечном Пути может быть пять миллиардов планет, похожих на Землю и вращающихся вокруг звезд, похожих на Солнце. Однако это лишь видимая часть айсберга обитаемых планет. Дело не только в том, что вокруг звезд других типов их больше: и сами условия на экзопланетах в других системах могут быть куда благоприятнее для жизни, чем у нас с вами. Попробуем понять почему.

Позавчера, 10:05
2 минуты
Sergei Sobol

Обращаете внимание, какой творческий подход проявляют дизайнеры при создании электрических мотоциклов? Каждый из них уникален своими особенностями, и наш сегодняшний фаворит – концептуальный электрический байк BMW Motorrad – не исключение. Он создан дизайнером из Валенсии Яго Валино (Iago Valino), вдохновившимся кастомными мотоциклами мастерской El Solitario. А эстетика байка навеяна культовыми мотоциклами Ural, в которые советские инженеры добавили собственный взгляд на традиции BMW.

6 часов назад
10 минут
Мария Азарова

Исследование американских кардиологов показало, что алкоголь практически неминуемо влияет на сердечный ритм, приводя к фибрилляции предсердий. Всего одна порция вина, пива или другого спиртного более чем в шесть раз повысила риск приступа в течение следующих четырех часов.

25 апреля
17 минут
Александр Березин

На этой неделе СМИ выдали новость, от которой можно впасть в шок: «Ранее из России уезжало около 14 тысяч исследователей [в год], теперь — 70 тысяч». Мы внимательно разобрались в ситуации и вынуждены отметить, что ничего подобного не было и нет. В реальности речь вовсе не об ученых и даже не о высококвалифицированных специалистах. Проблемы с учеными в России есть. Но в этом случае речь идет не о них, а о том, что отдельные бывшие комсомольские вожаки, удачно устроившиеся в РАН, перепутали утечку мозгов из России с отъездом из нее гастарбайтеров. Разбираемся, как это у них получилось.

23 апреля
11 минут
Василий Парфенов

Действующий глава NASA в рамках общения с прессой ответил на ряд вопросов, касающихся недавних заявлений российских политиков и главы «Роскосмоса» о скором отказе от собственного сегмента МКС. Администратор заверил всех, что агентство находится в хороших отношениях с Россией, а также поделился информацией о согласовании обмена местами для астронавтов и космонавтов в пилотируемых миссиях двух стран.

24 апреля
9 минут
Мария Азарова

Американские ученые показали обратную связь всех конечных точек смертности с содержанием омега-3-полиненасыщенных жирных кислот. Согласно их выводам, более высокие уровни некоторых основных ПНЖК в тканях и крови могут снижать вероятность смерти от всех причин в среднем на 13% и в итоге замедлять процесс старения.

[miniorange_social_login]

Комментарии

14 Комментариев

-
0
+
Конечно, Цукерберг злодей, хотя здесь на сайте порой блокируют тех пользователей, которые просто А. Березину не угодны... Да и вообще, не в РФ бы эти гримасы технологий осуждать...
    А. Березин блокирует комментарии тех пользователей, который нанесли личное оскорбление ему или, как в вашем случае, членам его семьи. И он полностью в своем праве: комментарии под его текстами -- это комментарии под его текстами. Или вы хотите попробовать и дальше оскорблять меня, уже и под другими текстах, зная, что новые комменты мне видно из любых? Не рекомендую. Не лучшее решение. И да -- отвечать на этот комментарий не надо. Общение с тем, кто оскорбил меня или членов моей семьи не входит в мои планы.
    К чему это вообще?
    +
      ещё комментарии
      -
      0
      +
      Зачем спрашивать, когда ответ вас совершенно не интересует и вы его наверняка сотрете, как уже неоднократно делали?
        Это был риторический вопрос из разряда "не устали ругань устраивать"?
          -
          0
          +
          Только вопросы заданные по правильному адресу называются риторическими. В остальных случаях такие вопросы являются провокационными: -- Аркадий Варламович, а не хлопнуть ли нам по рюмашке? -- Заметьте, не я это предложил!
-
0
+
Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить. --- на самом деле это нормально - изучать продукты конкурентов, а иначе как понять их слабые места или сильные стороны.
13.04.2021
-
1
+
Поэтому и пользуемся телеграм.
    -
    -1
    +
    И телега такая же дыра, как и вацап, и остальные поделия не лучше. Телега еще и батарею жрет как подорванная, вацап скромнее в этом плане. И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя. Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон.
    +
      ещё комментарии
      "И телега такая же дыра, как и вацап, и остальные поделия не лучше" У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. " И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя." А я вот шесть лет пользуюсь (и вместе со мной ~100% работников СМИ), и до сих пор ни разу не видел ни одного канала, на который я не подписывался. "Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон." А вот такое решение как раз будет сплошной дыркой -- как и СМС сегодня.
        -
        0
        +
        У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. ---- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения.
          "- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения." Дайте, пожалуйста, ссылку, или упомяните когда это писалось. Дураки ли? Не знаю. Но, с учетом размеров призов Дурова за подлом телеги -- дураки, что написали об этом, и не заработали на этом.
Подтвердить?
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: