• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
13.04.2021
Василий Парфенов
15
10 002

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер

6.7

Репутация самого популярного в мире мессенджера в последнее время терпит один удар за другим. Сначала масштабная утечка личных данных, потом главу Facebook Inc. уличили в использовании приложения-конкурента, а теперь исследователи в области кибербезопасности нашли очередную «бомбу замедленного действия». Оказывается, любого пользователя WhatsApp можно принудительно «отлучить» от мессенджера на произвольный срок, причем для этого нужно знать лишь его номер телефона.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
©Chip Somodevilla, Getty Images / Автор: Ирина Мельникова

Отметим сразу: это уязвимость не столько самого приложения, сколько всей системы поддержки пользователей корпорации Facebook. Большинство запросов обрабатывают автоматически, а чтобы добиться ответа от человека «на том конце», необходимо здорово потрудиться. Злоумышленник может легко воспользоваться таким отношением к клиентам. Как это реализовать, обнаружили два исследователя в области сетевых угроз — Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.

При смене устройства, на котором используется WhatsApp, по любой причине от пользователя требуется шестизначный код. Эта комбинация цифр приходит в виде SMS-сообщения на номер, который необходимо ввести на экране приветствия мессенджера. Однако указываемый номер необязательно должен совпадать с тем, что привязан к SIM-карте в устройстве. На деле это может быть вообще планшет без модуля сотовой связи. Казалось бы, так даже удобнее. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.

На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.

Запрос обработают автоматически и учетную запись временно заблокируют. Настоящий пользователь в этот момент получит сообщение о необходимости снова войти в аккаунт и подтвердить личность кодом из SMS — который он не сможет ввести, ведь 12-часовая блокировка после неправильного ввода активируется на учетную запись, а не отдельное устройство.

Естественно, жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. На то, чтобы получить квалифицированный ответ от сотрудника Facebook Inc., могут уйти не то что часы — дни. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.

Надежных способов защиты от подобной атаки нет. Даже если жертва достучится до поддержки и вернет доступ к аккаунту, злоумышленник благополучно повторит манипуляцию. Двухфакторная аутентификация тоже не спасет: она работает после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу в электронной почте происходит автоматически. Как установили специалисты по кибербезопасности, обрабатывающий письмо алгоритм просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
Чтобы заблокировать аккаунт достаточно отправить в техподдержку WhatsApp письмо с любого электронного адреса. Главное, чтобы оно содержало необходимые ключевые слова / ©Forbes

Возможность «выкинуть» любого человека из мессенджера может быть не самой пугающей опасностью для пользователей. Но если подумать, легко представить ситуацию, когда жертву нужно лишить удобного способа общения или доступа к актуальной информации. Не исключен и вариант просто насолить человеку, которому хочется испортить жизнь.

Как пишет портал Android Police, представители Facebook Inc. комментируют ситуацию обтекаемо. По их словам, описанная ситуация — нарушение пользовательского соглашения мессенджера. Но когда такие тонкости останавливали преступников и как этот факт может помочь людям, ставшим жертвами подобного злоупотребления, — не уточняется.

Журналисты отмечают, что какой-либо реакции от корпорации, скорее всего, ждать не стоит. Такой вывод они сделают, судя по предпринятым ранее мерам в ситуациях, когда специалисты по кибербезопасности находили уязвимости в продуктах Facebook.

Возможно, механизмы обработки обращений в техническую поддержку или тонкости авторизации пользователей изменят, если подобной атаке подвергнут основателя компании Марка Цукерберга. Напомним, в утечке личных данных более чем полумиллиарда пользователей социальной сети оказался и его номер. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Позавчера, 18:28
Evgenia

Ученые, работающие на Большом адронном коллайдере (БАК), обнаружили в результатах экспериментов неожиданные данные. Они могут свидетельствовать о существовании топония, связанного состояния топ-кварка и его антикварка.

7 часов назад
Березин Александр

В мировой экономике происходит переворот, которого не было с XIX века: ее главный игрок решил ввести беспрецедентно высокие пошлины, способные покончить с эрой глобализации и свободной торговли. Упали и российские биржи, хотя нашу страну пошлины как раз не коснулись. Это вообще отчего? Насколько негативно эти действия могут отразиться на нашем ВВП и росте зарплат? Сделают ли заградительные пошлины прямо из XIX века Америку слабее, или наоборот, как это сто лет назад с ней уже бывало?

Позавчера, 17:23
Елена

Ученые из Наньянского технологического университета (Сингапур) разработали альтернативную фасадную плитку для охлаждения зданий. Ее особенность состоит в сочетании уникальных качеств, подсказанных самой природой. С одной стороны, большую энергоэффективность материалу придает использование грибницы. С другой — фактура, как у кожи слона, плотная, неровная, состоящая из складок и бугров и лишенная потовых и сальных желез.

1 апреля
СПбГУ

Ученые СПбГУ предложили инновационный подход к синтезу виниловых соединений, значительно снизив количество отходов и риски, связанные с использованием ацетилена. Новый метод позволяет эффективно получать ценные химические соединения с минимальным воздействием на окружающую среду.

2 апреля
Курчатовский институт

Специалисты НИЦ «Курчатовский институт» — ПИЯФ разработали новый тест-набор для быстрой и точной оценки опасности для здоровья загрязняющих химических веществ — ксенобиотиков. Метод основан на использовании дрожжей, мутирующих под воздействием токсинов.

2 апреля
Березин Александр

Известный американский отраслевой обозреватель Эрик Бергер взял интервью у экипажа космического корабля Boeing, из-за технических проблем которого два астронавта задержались на орбите на девять месяцев вместо одной недели. Детали, которые они озвучили, указывают на серьезные проблемы Starliner, о которых ранее умалчивали. Люди провели немало времени при глубоко нештатной температуре. При слегка другом сценарии миссии экипаж корабля мог погибнуть. Официальные заявления NASA и Boeing сразу после июньского полета к МКС, судя по интервью, были заведомо неправдивыми.

15 марта
Юлия Трепалина

Когда пара расстается, многие люди продолжают испытывать чувства к своим бывшим. Если разрыв произошел по инициативе другой стороны и отношения длились много лет, полностью «забыть» еще недавно близкого человека может быть непросто. Существует мнение, что и после расставания привязанность к экс-партнерам в какой-то мере сохраняется. Впрочем, согласно другой точке зрения, со временем эта эмоциональная связь ослабевает и утрачивается. Разобраться, как происходит на самом деле и сколько времени может потребоваться на полный эмоциональный разрыв с бывшими возлюбленными, взялись психологи из Иллинойсского университета в Урбане-Шампейне (США).

18 марта
Илья

Масштабный анализ геномов показал, что вид Homo sapiens возник в результате смешения двух древних популяций. Они разделились полтора миллиона лет назад, а затем воссоединились до расселения по миру.

2 апреля
Березин Александр

Известный американский отраслевой обозреватель Эрик Бергер взял интервью у экипажа космического корабля Boeing, из-за технических проблем которого два астронавта задержались на орбите на девять месяцев вместо одной недели. Детали, которые они озвучили, указывают на серьезные проблемы Starliner, о которых ранее умалчивали. Люди провели немало времени при глубоко нештатной температуре. При слегка другом сценарии миссии экипаж корабля мог погибнуть. Официальные заявления NASA и Boeing сразу после июньского полета к МКС, судя по интервью, были заведомо неправдивыми.

[miniorange_social_login]

Комментарии

15 Комментариев
после нововвидений ватсап стал не просто ненужным но и опасным
-
0
+
Конечно, Цукерберг злодей, хотя здесь на сайте порой блокируют тех пользователей, которые просто А. Березину не угодны... Да и вообще, не в РФ бы эти гримасы технологий осуждать...
    А. Березин блокирует комментарии тех пользователей, который нанесли личное оскорбление ему или, как в вашем случае, членам его семьи. И он полностью в своем праве: комментарии под его текстами -- это комментарии под его текстами. Или вы хотите попробовать и дальше оскорблять меня, уже и под другими текстах, зная, что новые комменты мне видно из любых? Не рекомендую. Не лучшее решение. И да -- отвечать на этот комментарий не надо. Общение с тем, кто оскорбил меня или членов моей семьи не входит в мои планы.
    К чему это вообще?
    +
      ещё комментарии
-
0
+
Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить. --- на самом деле это нормально - изучать продукты конкурентов, а иначе как понять их слабые места или сильные стороны.
Roman Markin
13.04.2021
-
0
+
Поэтому и пользуемся телеграм.
    -
    0
    +
    И телега такая же дыра, как и вацап, и остальные поделия не лучше. Телега еще и батарею жрет как подорванная, вацап скромнее в этом плане. И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя. Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон.
    +
      ещё комментарии
      "И телега такая же дыра, как и вацап, и остальные поделия не лучше" У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. " И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя." А я вот шесть лет пользуюсь (и вместе со мной ~100% работников СМИ), и до сих пор ни разу не видел ни одного канала, на который я не подписывался. "Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон." А вот такое решение как раз будет сплошной дыркой -- как и СМС сегодня.
        -
        0
        +
        У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. ---- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения.
Подтвердить?
Подтвердить?
Причина отклонения
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно