Новый неприятный сюрприз для 2 миллиардов пользователей WhatsApp сегодня, когда обнаружена тревожная угроза безопасности. Это уже целая серия статей о WhatsApp за последнее время, так как буквально недавно были выявлены первые баги и ошибки в мессенджере. Используя только ваш номер телефона, удаленный злоумышленник может легко деактивировать WhatsApp на вашем телефоне, а затем остановить вас. Даже двухфакторная аутентификация не остановит этого. Вот как работает атака.
Этого не должно быть. Этого не должно быть. Только не с платформой, которой пользуются 2 миллиарда человек. Не так-то просто. Когда исследователи Луис Маркес Карпинтеро и Эрнесто Каналес Перенья предупредили, что могут убить WhatsApp на моем телефоне, заблокировав доступ к моей учетной записи, используя только мой номер телефона, я усомнился в этом. Но они были правы.
«Это еще один опасный взлом, - предупреждает Джейк Мур из ESET, - который может затронуть миллионы пользователей, которые потенциально могут стать объектом этой атаки. Когда так много людей полагаются на WhatsApp как на основной инструмент общения в социальных и рабочих целях, тревожно, насколько легко это может произойти ».
Читать предыдущую статью: 📲 WhatsApp выпускает серьезное предупреждение о безопасности сообщений, затрагивающее миллионы пользователей
Несмотря на обширную базу пользователей, WhatsApp трещит по швам. Его архитектура отстала от конкурентов, в ней отсутствуют ключевые функции, такие как доступ с нескольких устройств и полностью зашифрованные резервные копии. Поскольку самый популярный в мире мессенджер сосредоточен на введении новых условий обслуживания, чтобы задействовать новейшие схемы зарабатывания денег Facebook, эти столь необходимые достижения остаются «в разработке».
Кроме того, у нас есть бич угона аккаунтов . Месяц за месяцем мы видим предупреждения о различных видах мошенничества, когда пользователей обманом заставляют отказаться от шестизначного SMS-кода, отправленного для активации новой установки WhatsApp. А после взлома аккаунта восстановление может занять много времени и проблем. Мы даже видели истории о взломе учетных записей, что привело к блокировке других учетных записей.
Честно говоря, для взлома аккаунта требуется ошибка пользователя. Проще говоря, вы НИКОГДА не должны никому отправлять шестизначный код, отправленный на ваш телефон. Это почти наверняка мошенничество, которое приведет к захвату одной из ваших учетных записей. WhatsApp, похоже, больше других страдает от этой проблемы и действительно должен требовать двухфакторной аутентификации (2FA) или разработать архитектуру доверенного устройства , подобную Google и Apple.
По иронии судьбы, даже двухфакторная аутентификация WhatsApp не предотвращает атаку, стоящую за этим последним предупреждением. И это настоящая проблема для любого пользователя, который не справляется с этим, потому что, даже если они следовали всем советам по безопасности, это не поможет.
Эта недавно обнаруженная уязвимость безопасности связана с двумя отдельными процессами WhatsApp, каждый из которых имеет фундаментальный недостаток. И это комбинация этих двух слабостей, которые могут деактивировать ваш WhatsApp и помешать вам вернуться в него.
Когда вы впервые устанавливаете WhatsApp на свой телефон или меняете телефон, платформа отправит вам SMS-код для подтверждения учетной записи. Как только вы введете правильный код, приложение запросит ваш номер 2FA, чтобы убедиться, что это действительно вы, и тогда вы войдете.
А теперь давайте начнем с первого слабого места. Любой желающий может установить WhatsApp на телефон и ввести свой номер на экране подтверждения. После этого вы будете получать текстовые сообщения и звонки из WhatsApp с шестизначным кодом. Вы также увидите уведомление приложения WhatsApp, в котором сообщается, что был запрошен код, и предупреждает вас не делиться им.
Злоумышленник может делать это с вашим номером телефона в WhatsApp, пока вы продолжаете использовать приложение в обычном режиме. Они запрашивают повторяющиеся коды и вводят неверные предположения в свое приложение. Вы получите SMS-коды, возможно, и звонки, но с ними ничего не поделать, их некуда вводить. Итак, вы все это игнорируете.
Проблема в том, что процесс проверки WhatsApp ограничивает количество отправляемых кодов. После нескольких попыток WhatsApp злоумышленника скажет: «Отправьте SMS повторно / Позвоните мне через 12 часов», и новые коды не могут быть сгенерированы. WhatsApp также блокирует ввод кода в приложении после нескольких попыток, сообщая злоумышленнику: «Вы слишком много раз угадали ... попробуйте еще раз через 12 часов».
Итак, пока WhatsApp на вашем телефоне продолжает нормально работать, злоумышленник заблокировал отправку любых новых кодов или их ввод на экране проверки. Теперь все зависит от 12-часового таймера, который ведет обратный отсчет.
Все это не должно быть проблемой для вас. Если вы не деактивируете WhatsApp на своем телефоне и вам не потребуется повторная верификация, проблем нет. Итак, к слабости номер два.
Теперь злоумышленник регистрирует новый, свежий адрес электронной почты, как и Gmail, и отправляет электронное письмо на адрес support@whatsapp.com. В электронном письме говорится, что утерянная / украденная учетная запись: пожалуйста, отключите мой номер Злоумышленник включает ваш номер. WhatsApp может отправить автоматический ответ по электронной почте с запросом номера еще раз, злоумышленник подчиняется.
Итак, чтобы быть предельно ясным. WhatsApp получил электронное письмо со ссылкой на ваш номер телефона. У них нет возможности узнать, действительно ли это от вас. Нет дополнительных вопросов, подтверждающих, что вы являетесь владельцем номера. Но без вашего ведома был запущен автоматический процесс, и теперь ваша учетная запись будет деактивирована.
Примерно через час, и внезапно WhatsApp перестает работать на вашем телефоне, и вы видите тревожное уведомление: «Ваш номер телефона больше не зарегистрирован в WhatsApp на этом телефоне», - говорится в сообщении. «Это могло быть потому, что вы зарегистрировали его на другом телефоне. Если вы этого не сделали, подтвердите свой номер телефона, чтобы снова войти в свою учетную запись ». Эта деактивация происходит автоматически, с использованием ключевых слов для запуска действий.
Это происходит, даже если у вас есть двухфакторная аутентификация в вашей учетной записи WhatsApp. Но даже в этом случае это не должно быть проблемой. Вам просто нужно запросить код и перерегистрировать свою учетную запись.
Ваш деактивированный WhatsApp запрашивает ваш номер телефона, чтобы отправить вам код. Вы вводите и подтверждаете свой номер. Но текст не приходит. «Вы недавно пытались зарегистрировать [ свой номер ]», - сообщает приложение. «Подождите, прежде чем запрашивать SMS или звонок».
Подожди, что ? Вы ничего не просили . Но ваш телефон теперь подвергается тому же обратному отсчету, что и злоумышленник. Вы не можете запросить новый код для остатка этих 12 часов. Вы, конечно, ничего этого не знаете, вы совершенно запутались.
Но вдруг вы вспоминаете, что получили неожиданные коды WhatsApp час или два назад. Вы получаете самое последнее SMS-сообщение и вводите код в WhatsApp. Но даже это не сработает. «Вы слишком много раз угадали», - говорит вам WhatsApp. Очевидно, вы вообще не угадали. Но у вашего телефона те же ограничения, что и у злоумышленника. Вы не можете запросить новый код, вы не можете ввести последний код, вы застряли.
Обратный отсчет, вероятно, сейчас показывает от 10 до 11 часов. Если атака остановится здесь, вы сможете запросить новое SMS-сообщение и подтвердить свою учетную запись с помощью нового шестизначного кода после истечения этого 12-часового таймера. Но есть неприятный поворот.
Злоумышленнику не нужно отправлять электронное письмо в WhatsApp во время этого первого 12-часового обратного отсчета, вместо этого он может подождать, а затем повторить процесс. Вы будете получать намного больше сообщений, но вы по-прежнему ничего не можете с ними поделать, хотя и подозреваете, что что-то не так.
Если злоумышленник это сделает, то в третьем 12-часовом цикле WhatsApp, похоже, выйдет из строя. «Вы слишком много раз угадали, - скажет их приложение, - попробуйте еще раз через -1 секунду». Теперь у злоумышленника нет возможности запрашивать или вводить новые коды, нет обратного отсчета, вместо того, чтобы сказать «12 часов», он говорит «-1 секунда». Он застопорился.
Но, к сожалению, с вашим телефоном обращаются так же, как и со злоумышленником, и поэтому, если злоумышленник подождет до этого момента, прежде чем отправить электронное письмо в службу поддержки WhatsApp, чтобы деактивировать ваш номер, вы не сможете повторно зарегистрировать WhatsApp на своем телефоне, когда вас вышвырнут. вашего приложения. «Слишком поздно», - сказали мне исследователи. Вам нужно будет связаться с WhatsApp и попытаться найти кого-нибудь, кто может помочь.
Даже если злоумышленник отключит ваш телефон во время первого цикла, он может подтолкнуть вас ко второму 12-часовому обратному отсчету, если он запросит и введет коды по истечении первого обратного отсчета, прежде чем у вас появится шанс. Помните, они видят тот же таймер, что и вы.
Очевидно, что сочетание этой архитектуры проверки, ограничений по SMS / кодам и автоматических действий на основе ключевых слов, запускаемых входящими электронными письмами, может быть нарушено. В этой атаке нет ничего изощренного - это настоящая проблема, и WhatsApp должен немедленно ее решить. Есть много причин, по которым может быть выгодно заблокировать кого-то от их мессенджера. Это не должно быть так просто. И это не должно работать, когда включена 2FA, как это было в случае с приложением этой «жертвы».
Это несложно и должно быть легко исправлено. WhatsApp может гарантировать, что приложение на устройстве с зарегистрированной двухфакторной аутентификацией может предотвратить эту проблему, используя двухфакторную аутентификацию в качестве автоматического выключателя. Еще проще, когда в конечном итоге появится доступ к нескольким устройствам, WhatsApp может использовать концепцию доверенного устройства, чтобы одно проверенное приложение могло проверять другое. Это гораздо лучшая система, которая устранит эту уязвимость.
По словам Мура, эта уязвимость указала на еще одну серьезную проблему WhatsApp. «Невозможно отказаться от обнаружения в WhatsApp», - предупреждает он. «Любой может ввести номер телефона, чтобы найти связанную учетную запись, если она существует. В идеале, движение в сторону большей конфиденциальности помогло бы защитить пользователей от этого, а также заставило бы людей внедрить ПИН-код для двухэтапной проверки ».
Как ни странно, эта проблема возникает из-за того, что безопасный обмен сообщениями связан только с номером телефона, работает «поверх», без внутренних ссылок на ОС или номер устройства. Логика предполагает, что приложение могло проверять номер телефона самостоятельно - WhatsApp признает, что собирал информацию об устройстве в своей политике конфиденциальности.
В ответ на это сообщение представитель WhatsApp сказал мне, что «предоставление адреса электронной почты с вашей двухэтапной проверкой помогает нашей службе поддержки клиентов помогать людям, если они когда-либо столкнутся с этой маловероятной проблемой. Обстоятельства, указанные этим исследователем, могут нарушить наши условия обслуживания, и мы рекомендуем всем, кто нуждается в помощи, написать в нашу службу поддержки по электронной почте, чтобы мы могли провести расследование ».
Они означают, что, если вы проведете эту атаку, вы нарушите их условия обслуживания и столкнетесь с последствиями. Это не помогает жертвам, но должно служить предупреждением не экспериментировать с этой уязвимостью.
WhatsApp не подтвердил, что планирует исправить эту уязвимость, несмотря на то, что ее можно легко и анонимно использовать. Их ответ заключался в том, чтобы преуменьшить риск, но этот риск вполне реален. Помимо неприятного фактора, отключение кого-либо от связи имеет материальные преимущества. Итак, учитывая широкое использование WhatsApp, это брешь в безопасности, которую необходимо устранить. Злоумышленнику даже не нужен номер телефона, чтобы подделать новую установку, устройство, подключенное через Wi-Fi, будет работать нормально.
К сожалению, преуменьшение серьезности угроз безопасности стало внутренним стилем Facebook. Еще в 2019 году я сообщил об уязвимости, которая позволяла извлекать частные телефонные номера пользователей из баз данных Facebook в большом масштабе с помощью автоматических ботов. Этот взлом был признан Facebook, но отклонен как «маловероятная проблема». Около 533 миллионов пользователей теперь могут не согласиться .
Итак, что нужно делать? Вам необходимо включить 2FA, чтобы предотвратить фактический захват учетной записи, и стоит указать адрес электронной почты, чтобы помочь в случае, если это произойдет с вами. А пока следите за предупреждениями о том, что кто-то запросил ваши коды подтверждения, и если это повторится, вам следует немедленно связаться со службой поддержки WhatsApp.
Мировые СМИ уже во всю бьют тревогу
Конечно, другим вариантом было бы последовать примеру Марка Цукерберга и начать использовать Signal. Мессенджер, ориентированный на конфиденциальность, является наиболее жизнеспособной альтернативой WhatsApp и, по иронии судьбы, частично финансируется соучредителем WhatsApp Брайаном Эктоном.
Я по-прежнему надеюсь, что WhatsApp изменит свою позицию и исправит эту уязвимость. И я очень надеюсь, что в следующий раз я буду писать о том что проблема исправлена.