В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер — Naked Science
10 минут
Василий Парфенов
14

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер

6.7

Репутация самого популярного в мире мессенджера в последнее время терпит один удар за другим. Сначала масштабная утечка личных данных, потом главу Facebook Inc. уличили в использовании приложения-конкурента, а теперь исследователи в области кибербезопасности нашли очередную «бомбу замедленного действия». Оказывается, любого пользователя WhatsApp можно принудительно «отлучить» от мессенджера на произвольный срок, причем для этого нужно знать лишь его номер телефона.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
©Chip Somodevilla, Getty Images

Отметим сразу: это уязвимость не столько самого приложения, сколько всей системы поддержки пользователей корпорации Facebook. Большинство запросов обрабатывают автоматически, а чтобы добиться ответа от человека «на том конце», необходимо здорово потрудиться. Злоумышленник может легко воспользоваться таким отношением к клиентам. Как это реализовать, обнаружили два исследователя в области сетевых угроз — Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.

При смене устройства, на котором используется WhatsApp, по любой причине от пользователя требуется шестизначный код. Эта комбинация цифр приходит в виде SMS-сообщения на номер, который необходимо ввести на экране приветствия мессенджера. Однако указываемый номер необязательно должен совпадать с тем, что привязан к SIM-карте в устройстве. На деле это может быть вообще планшет без модуля сотовой связи. Казалось бы, так даже удобнее. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.

На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.

Запрос обработают автоматически и учетную запись временно заблокируют. Настоящий пользователь в этот момент получит сообщение о необходимости снова войти в аккаунт и подтвердить личность кодом из SMS — который он не сможет ввести, ведь 12-часовая блокировка после неправильного ввода активируется на учетную запись, а не отдельное устройство.

Естественно, жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. На то, чтобы получить квалифицированный ответ от сотрудника Facebook Inc., могут уйти не то что часы — дни. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.

Надежных способов защиты от подобной атаки нет. Даже если жертва достучится до поддержки и вернет доступ к аккаунту, злоумышленник благополучно повторит манипуляцию. Двухфакторная аутентификация тоже не спасет: она работает после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу в электронной почте происходит автоматически. Как установили специалисты по кибербезопасности, обрабатывающий письмо алгоритм просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.

В WhatsApp нашли способ заблокировать любого пользователя, просто зная его номер
Чтобы заблокировать аккаунт достаточно отправить в техподдержку WhatsApp письмо с любого электронного адреса. Главное, чтобы оно содержало необходимые ключевые слова / ©Forbes

Возможность «выкинуть» любого человека из мессенджера может быть не самой пугающей опасностью для пользователей. Но если подумать, легко представить ситуацию, когда жертву нужно лишить удобного способа общения или доступа к актуальной информации. Не исключен и вариант просто насолить человеку, которому хочется испортить жизнь.

Как пишет портал Android Police, представители Facebook Inc. комментируют ситуацию обтекаемо. По их словам, описанная ситуация — нарушение пользовательского соглашения мессенджера. Но когда такие тонкости останавливали преступников и как этот факт может помочь людям, ставшим жертвами подобного злоупотребления, — не уточняется.

Журналисты отмечают, что какой-либо реакции от корпорации, скорее всего, ждать не стоит. Такой вывод они сделают, судя по предпринятым ранее мерам в ситуациях, когда специалисты по кибербезопасности находили уязвимости в продуктах Facebook.

Возможно, механизмы обработки обращений в техническую поддержку или тонкости авторизации пользователей изменят, если подобной атаке подвергнут основателя компании Марка Цукерберга. Напомним, в утечке личных данных более чем полумиллиарда пользователей социальной сети оказался и его номер. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Сегодня, 07:15
6 минут
Василий Парфенов

Вопрос разработки способов запасания электричества в XXI веке встал невероятно остро — ученые со всего мира ломают голову над тем, как сделать батареи более емкими. Армейская исследовательская лаборатория США добилась успехов в создании тончайших антисегнетоэлектрических пленок из гафната свинца. Это сложное в получении соединение обладает большим потенциалом к применению в аккумуляторах и электрических вентилях.

Позавчера, 12:00
2 минуты
Илья Ведмеденко

Как следует из обнародованных материалов, дальность действия перспективной американской системы гиперзвукового оружия Long Range Hypersonic Weapon превышает 2775 километров.

Позавчера, 18:35
4 минуты
Ольга Иванова

NASA смоделировало ситуацию, при которой нашей планете угрожает крупное небесное тело, и выяснило, как много времени понадобится землянам, чтобы предотвратить катастрофу. Спойлер: мы все умрем.

11 мая
11 минут
Мария Азарова

Американские ученые показали, что РНК коронавируса SARS-CoV-2 проходит через обратную транскрипцию, встраивается в геном инфицированной клетки и экспрессируется в виде «химерных» транскриптов, сливающихся с вирусными с клеточными последовательностями.

12 мая
7 минут
Мария Азарова

Исследователи впервые показали присутствие коронавируса в ткани полового члена спустя как минимум полгода с момента заражения. Судя по всему, распространенная у пациентов с Covid-19 дисфункция эндотелиальных клеток может приводить и к развитию импотенции.

11 мая
8 минут
Мария Азарова

Блокирование рецептора, который помогает сохранять энергию в условиях голода, назвали ключом к более безопасным профилактике и лечению ожирения, вызванного неправильным образом жизни.

16 апреля
4 минуты
Илья Ведмеденко

Исследователи установили, что обнаруженный в Баренцевом море объект — погибшая советская субмарина типа «Крейсерская». Это одна из самых больших подлодок СССР периода Второй мировой.

23 апреля
11 минут
Василий Парфенов

Действующий глава NASA в рамках общения с прессой ответил на ряд вопросов, касающихся недавних заявлений российских политиков и главы «Роскосмоса» о скором отказе от собственного сегмента МКС. Администратор заверил всех, что агентство находится в хороших отношениях с Россией, а также поделился информацией о согласовании обмена местами для астронавтов и космонавтов в пилотируемых миссиях двух стран.

25 апреля
17 минут
Александр Березин

На этой неделе СМИ выдали новость, от которой можно впасть в шок: «Ранее из России уезжало около 14 тысяч исследователей [в год], теперь — 70 тысяч». Мы внимательно разобрались в ситуации и вынуждены отметить, что ничего подобного не было и нет. В реальности речь вовсе не об ученых и даже не о высококвалифицированных специалистах. Проблемы с учеными в России есть. Но в этом случае речь идет не о них, а о том, что отдельные бывшие комсомольские вожаки, удачно устроившиеся в РАН, перепутали утечку мозгов из России с отъездом из нее гастарбайтеров. Разбираемся, как это у них получилось.

[miniorange_social_login]

Комментарии

14 Комментариев

-
0
+
Конечно, Цукерберг злодей, хотя здесь на сайте порой блокируют тех пользователей, которые просто А. Березину не угодны... Да и вообще, не в РФ бы эти гримасы технологий осуждать...
    А. Березин блокирует комментарии тех пользователей, который нанесли личное оскорбление ему или, как в вашем случае, членам его семьи. И он полностью в своем праве: комментарии под его текстами -- это комментарии под его текстами. Или вы хотите попробовать и дальше оскорблять меня, уже и под другими текстах, зная, что новые комменты мне видно из любых? Не рекомендую. Не лучшее решение. И да -- отвечать на этот комментарий не надо. Общение с тем, кто оскорбил меня или членов моей семьи не входит в мои планы.
    К чему это вообще?
    +
      ещё комментарии
      -
      0
      +
      Зачем спрашивать, когда ответ вас совершенно не интересует и вы его наверняка сотрете, как уже неоднократно делали?
        Это был риторический вопрос из разряда "не устали ругань устраивать"?
          -
          0
          +
          Только вопросы заданные по правильному адресу называются риторическими. В остальных случаях такие вопросы являются провокационными: -- Аркадий Варламович, а не хлопнуть ли нам по рюмашке? -- Заметьте, не я это предложил!
-
0
+
Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить. --- на самом деле это нормально - изучать продукты конкурентов, а иначе как понять их слабые места или сильные стороны.
13.04.2021
-
1
+
Поэтому и пользуемся телеграм.
    -
    -1
    +
    И телега такая же дыра, как и вацап, и остальные поделия не лучше. Телега еще и батарею жрет как подорванная, вацап скромнее в этом плане. И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя. Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон.
    +
      ещё комментарии
      "И телега такая же дыра, как и вацап, и остальные поделия не лучше" У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. " И телега сует мне прямо в нос каналы, на которых я не подписывался. Удалил эту чушь, пока не вывела из себя." А я вот шесть лет пользуюсь (и вместе со мной ~100% работников СМИ), и до сих пор ни разу не видел ни одного канала, на который я не подписывался. "Единственное, что внушает надежду - в следующем поколении - 5Г, 6Г, и т.д. - все эти возможности мессенджеров будут встроены прямо в протокол (подобно тому как СМС сейчас работает). И эти бредовые соревнования и меряния органами забудутся, как страшный сон." А вот такое решение как раз будет сплошной дыркой -- как и СМС сегодня.
        -
        0
        +
        У вас небось и доказательства есть? Так-то, очень я сомневаюсь, что телега -- "дыра". Чтобы сделать настолько громкое заявление нужны доказательства. ---- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения.
          "- в хакере писали о сем. Причем довольно давно. Дураки, наверное, с вашей точки зрения." Дайте, пожалуйста, ссылку, или упомяните когда это писалось. Дураки ли? Не знаю. Но, с учетом размеров призов Дурова за подлом телеги -- дураки, что написали об этом, и не заработали на этом.
Подтвердить?
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: