ОСНОВНЫЕ МОМЕНТЫ
- Новый WhatsApp flaw позволяет злоумышленникам приостановить вашу учетную запись, если у них есть ваш номер телефона.
- Злоумышленник изначально запрашивает и вводит неверные множественные двухфакторные SMS-коды, которые блокируют входы WhatsApp на их устройство на 12 часов.
- WhatsApp рекомендовал пользователям предоставлять адрес электронной почты с двухфакторной аутентификацией, чтобы помочь руководителям поддержать их, если они столкнутся с этой проблемой.
Обнаружен новый недостаток WhatsApp, который позволяет любому приостановить вашу учетную запись с помощью двухфакторной попытки аутентификации. По данным Forbes исследователи безопасности Луис Маркес Карпинтеро и Эрнесто Каналес Перенья обнаружили недостаток, который позволяет злоумышленникам приостановить действие вашей учетной записи, если у них есть ваш номер телефона. Злоумышленник изначально запрашивает и вводит неверные множественные двухфакторные SMS-коды, которые блокируют входы WhatsApp на их устройство на 12 часов. После этого преступник регистрирует новый адрес электронной почты и отправляет электронное письмо в службу поддержки WhatsApp с просьбой деактивировать номер с потерянной или украденной учетной записью в качестве причины. Без проверки подлинности WhatsApp автоматически отключает номер, и вы окажетесь заблокированы без ввода данных с вашей стороны.
Как защитить себя от этого недостатка WhatsApp
В то время как вы можете вернуть свою учетную запись WhatsApp после 12-часового окна, злоумышленники могут попытаться навсегда заблокировать вас, повторив кодовые запросы ещё два раза, а затем дождаться третьего периода, чтобы отправить электронное письмо компании. Как только они это сделают, вам будет предложено подождать “-1 секунду”, и у вас не будет другого выбора, кроме как обратиться за помощью к Whatsapp для восстановления вашей учетной записи. В заявлении для Forbes WhatsApp не упомянул о решении этой проблемы, но рекомендовал пользователям предоставить адрес электронной почты с двухфакторной аутентификацией, чтобы помочь руководителям поддержать их, если они столкнутся с этой проблемой.
Учитывая, что злоумышленники обычно заинтересованы в захвате учетных записей, а не в их отключении, вы, вероятно, поймете, что что-то не так во время первой партии запросов SMS-кода. Вы можете немедленно связаться со службой поддержки WhatsApp, если заметите такую подозрительную активность. Это вызывает опасения по поводу безопасности учетной записи WhatsApp, но технически она может положить конец этому недостатку, полагаясь на доверенные устройства, а не на телефонные номера, и вручную проверять запросы на деактивацию, чтобы выманить подозрительную активность.
