• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
13.04.2021
Василий Парфенов
15
9 236

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер

6.7

Репутация самого популярного в мире мессенджера в последнее время терпит один удар за другим. Сначала масштабная утечка личных данных, потом главу Facebook Inc. уличили в использовании приложения-конкурента, а теперь исследователи в области кибербезопасности нашли очередную «бомбу замедленного действия». Оказывается, любого пользователя WhatsApp можно принудительно «отлучить» от мессенджера на произвольный срок, причем для этого нужно знать лишь его номер телефона.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
©Chip Somodevilla, Getty Images

Отметим сразу: это уязвимость не столько самого приложения, сколько всей системы поддержки пользователей корпорации Facebook. Большинство запросов обрабатывают автоматически, а чтобы добиться ответа от человека «на том конце», необходимо здорово потрудиться. Злоумышленник может легко воспользоваться таким отношением к клиентам. Как это реализовать, обнаружили два исследователя в области сетевых угроз — Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.

При смене устройства, на котором используется WhatsApp, по любой причине от пользователя требуется шестизначный код. Эта комбинация цифр приходит в виде SMS-сообщения на номер, который необходимо ввести на экране приветствия мессенджера. Однако указываемый номер необязательно должен совпадать с тем, что привязан к SIM-карте в устройстве. На деле это может быть вообще планшет без модуля сотовой связи. Казалось бы, так даже удобнее. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.

На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.

Запрос обработают автоматически и учетную запись временно заблокируют. Настоящий пользователь в этот момент получит сообщение о необходимости снова войти в аккаунт и подтвердить личность кодом из SMS — который он не сможет ввести, ведь 12-часовая блокировка после неправильного ввода активируется на учетную запись, а не отдельное устройство.

Естественно, жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. На то, чтобы получить квалифицированный ответ от сотрудника Facebook Inc., могут уйти не то что часы — дни. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.

Надежных способов защиты от подобной атаки нет. Даже если жертва достучится до поддержки и вернет доступ к аккаунту, злоумышленник благополучно повторит манипуляцию. Двухфакторная аутентификация тоже не спасет: она работает после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу в электронной почте происходит автоматически. Как установили специалисты по кибербезопасности, обрабатывающий письмо алгоритм просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
Чтобы заблокировать аккаунт достаточно отправить в техподдержку WhatsApp письмо с любого электронного адреса. Главное, чтобы оно содержало необходимые ключевые слова / ©Forbes

Возможность «выкинуть» любого человека из мессенджера может быть не самой пугающей опасностью для пользователей. Но если подумать, легко представить ситуацию, когда жертву нужно лишить удобного способа общения или доступа к актуальной информации. Не исключен и вариант просто насолить человеку, которому хочется испортить жизнь.

Как пишет портал Android Police, представители Facebook Inc. комментируют ситуацию обтекаемо. По их словам, описанная ситуация — нарушение пользовательского соглашения мессенджера. Но когда такие тонкости останавливали преступников и как этот факт может помочь людям, ставшим жертвами подобного злоупотребления, — не уточняется.

Журналисты отмечают, что какой-либо реакции от корпорации, скорее всего, ждать не стоит. Такой вывод они сделают, судя по предпринятым ранее мерам в ситуациях, когда специалисты по кибербезопасности находили уязвимости в продуктах Facebook.

Возможно, механизмы обработки обращений в техническую поддержку или тонкости авторизации пользователей изменят, если подобной атаке подвергнут основателя компании Марка Цукерберга. Напомним, в утечке личных данных более чем полумиллиарда пользователей социальной сети оказался и его номер. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Предстоящие мероприятия
26 марта
Мария Азарова

Исследователи из Южной Кореи на примере супружеских пар проверили, как длина и состояние волос женщин отражаются на влечении к ним мужчин и частоте половых контактов.

Сегодня, 11:52
Игорь Байдов

Американская компания JetZero, которая обещает произвести фурор в гражданской авиации, получила сертификат летной годности на испытания уменьшенной копии разрабатываемого ею сверхэффективного реактивного авиалайнера со «смешанным крылом». Предстоящая программа летных испытаний будет направлена на оценку летно-технических характеристик самолета, его устойчивости и управляемости.

Позавчера, 07:27
Полина

Международная команда исследователей проанализировала гены композитора Людвига ван Бетховена. Если оценивать по ним его способности к музыке, они окажутся невыдающимися.

26 марта
Мария Азарова

Исследователи из Южной Кореи на примере супружеских пар проверили, как длина и состояние волос женщин отражаются на влечении к ним мужчин и частоте половых контактов.

Позавчера, 07:27
Полина

Международная команда исследователей проанализировала гены композитора Людвига ван Бетховена. Если оценивать по ним его способности к музыке, они окажутся невыдающимися.

24 марта
Михаил Орлов

Астронавты, прибывшие на Луну в рамках программы «Аполлон», установили на ее поверхности первые внеземные сейсмографы и оценили частоту и силу лунотрясений. Теперь, спустя полвека после сбора данных о сейсмической активности Луны, ученые вновь подвергли их анализу, смогли удалить из них помехи и резко изменили оценки сейсмической активности на Луне. Оказалось, что приборы тогда зафиксировали не 13 тысяч лунотрясений, как считали ранее, а почти в три раза больше. Среди них неожиданно много слабых толчков, которые сосредоточены в северном полушарии Луны.

11 марта
Игорь Байдов

Американская компания Stratolaunch сообщила об успешном завершении летных испытаний прототипа гиперзвукового аппарата Talon-A, оснащенного ракетным двигателем. Во время беспилотного полета планер развил сверхзвуковую скорость.

18 марта
Игорь Байдов

Грузовой самолет будут использовать для перевозки 90-метровых лопастей ветряных турбин, которые невозможно доставить по суше из-за размеров. Предполагается, что этот аппарат произведет революцию в сфере возобновляемых источников энергии.

13 марта
Алиса Гаджиева

Древние переселенцы из Анатолии не только устроили геноцид в Скандинавии, но и одарили выживших новыми болезнями.

[miniorange_social_login]

Комментарии

15 Комментариев

после нововвидений ватсап стал не просто ненужным но и опасным
-
0
+
Конечно, Цукерберг злодей, хотя здесь на сайте порой блокируют тех пользователей, которые просто А. Березину не угодны... Да и вообще, не в РФ бы эти гримасы технологий осуждать...
    Александр
    13.04.2021
    -
    0
    +
    А. Березин блокирует комментарии тех пользователей, который нанесли личное оскорбление ему или, как в вашем случае, членам его семьи. И он полностью в своем праве: комментарии под его текстами -- это комментарии под его текстами. Или вы хотите попробовать и дальше оскорблять меня, уже и под другими текстах, зная, что новые комменты мне видно из любых? Не рекомендую. Не лучшее решение. И да -- отвечать на этот комментарий не надо. Общение с тем, кто оскорбил меня или членов моей семьи не входит в мои планы.
    Василий
    13.04.2021
    -
    0
    +
    К чему это вообще?
    +
      ещё комментарии
      Лев
      13.04.2021
      -
      0
      +
      Зачем спрашивать, когда ответ вас совершенно не интересует и вы его наверняка сотрете, как уже неоднократно делали?
        Василий
        14.04.2021
        -
        0
        +
        Это был риторический вопрос из разряда "не устали ругань устраивать"?
          Лев
          14.04.2021
          -
          0
          +
          Только вопросы заданные по правильному адресу называются риторическими. В остальных случаях такие вопросы являются провокационными: -- Аркадий Варламович, а не хлопнуть ли нам по рюмашке? -- Заметьте, не я это предложил!
-
0
+
Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить. --- на самом деле это нормально - изучать продукты конкурентов, а иначе как понять их слабые места или сильные стороны.
Roman Markin
13.04.2021
-
0
+
Поэтому и пользуемся телеграм.
    Семен
    13.04.2021
    -
    0
    +
    И телега такая же дыра, как и вацап, и остальные поделия не лучше. Телега еще и батарею жрет как подорванная, вацап скромнее в этом плане. И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя. Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон.
    +
      ещё комментарии
      Александр
      13.04.2021
      -
      0
      +
      "И телега такая же дыра, как и вацап, и остальные поделия не лучше" У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. " И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя." А я вот шесть лет пользуюсь (и вместе со мной ~100% работников СМИ), и до сих пор ни разу не видел ни одного канала, на который я не подписывался. "Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон." А вот такое решение как раз будет сплошной дыркой -- как и СМС сегодня.
        Семен
        13.04.2021
        -
        0
        +
        У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. ---- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения.
          Александр
          13.04.2021
          -
          0
          +
          "- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения." Дайте, пожалуйста, ссылку, или упомяните когда это писалось. Дураки ли? Не знаю. Но, с учетом размеров призов Дурова за подлом телеги -- дураки, что написали об этом, и не заработали на этом.

Подтвердить?
Подтвердить?
Причина отклонения
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: