Об этом со ссылкой на Forbes пишет Газета.ру.
Специалисты по информационной безопасности обнаружили в мессенджере WhatsApp новую уязвимость. Благодаря ей злоумышленники могут заблокировать учётную запись любого пользователя, зная номер его телефона. Как отмечают эксперты, схем, в которых такие действия могут привести к краже данных или иному доходу для хакеров, пока сложно придумать.
Схема блокировки учётной записи довольно проста — злоумышленник, имея на руках телефонный номер жертвы, инициирует процесс восстановления доступа к учётной записи — пользователь получает 6-значный код, а злоумышленник при помощи чужого номера телефона вводит случайные 6 цифр на своём устройстве. После нескольких неверных попыток учётная запись и рассылка кодов для восстановления блокируется на 12 часов.
Затем хакер создаёт новый адрес электронной почты и пишет в поддержку WhatsApp письмо с просьбой деактивировать аккаунт, указывая при этом телефонный номер жертвы. Уязвимость заключается в том, что эти письма обрабатываются автоматически и проверки идентификации пользователя не происходит. Пользователь получает сообщение от поддержки, но сделать ничего не может — его аккаунт заблокирован системой на 12 часов.
В это время злоумышленник выжидает оставшееся время и повторяет процесс — на третьем круге мессенджер в прямом смысле слова «ломается» и выдаёт сообщение о том, что повторный ввод кода будет возможен только через −1 секунду. После этого злоумышленнику остаётся лишь отправить письмо в поддержку с просьбой о блокировке аккаунта и пользователь больше никогда не сможет воспользоваться учётной записью.
