Nie mamy dobrych wiadomości dla użytkowników WhatsAppa. Badacze odkryli nową podatność, która w określonym scenariuszu może zablokować nam dostęp do komunikatora. Co więcej, w celu przeprowadzenia ataku nie jest potrzebna jakakolwiek specjalistyczna wiedza.
Wystarczy tylko numer telefonu
Na nowo odkrytą lukę zwraca uwagę Forbes. Na wstępie należy zaznaczyć, że nie jest możliwe przejęcie konta przez atakującego, nie licząc sytuacji z poważnym błędem użytkownika, aczkolwiek może on stracić dostęp do komunikatora.
Podatność nie wymaga stosowania żadnych specjalistycznych narzędzi, a także nie trzeba posiadać jakiejkolwiek większych umiejętności w łamaniu zabezpieczeń. Wystarczy na dowolnym urządzeniu zainstalować aplikację WhatsApp, a następnie przy logowaniu wykorzystać numer potencjalnej ofiary.
Niestety, tym razem niekoniecznie pomoże uwierzytelnianie wielopoziomowe, a także zachowanie wszystkich zalecanych zasad bezpieczeństwa. Winny jest bowiem głównie mechanizm stosowany przez WhatsAppa, który posiada wady i nie zapewnia odpowiedniej ochrony użytkownikowi.
Jak przed chwilą wspomniałem, niezbędny jest numer telefonu. Jak atakujący może wejść w jego posiadanie? Sposobów jest całkiem sporo. Przykładowo, może go wyciągnąć z bazy danych ponad 500 mln użytkowników Facebooka, która ostatnio została udostępniona w internecie.
Atak jest banalnie prosty do wykonania
Cyberprzestępca, ewentualnie po prostu zwykły użytkownik, może bez żadnych przeszkód zainstalować aplikację WhatsAppa, a następnie wprowadzić dowolny numer telefonu, na który zostanie wysłany kod weryfikacyjny. Jak najbardziej może skorzystać z numeru ofiary.
Co prawda, atakujący nie zyska dostępu do kodu weryfikacyjnego, ale mimo tego może wielokrotnie powtórzyć proces próby logowania. Ofiara będzie otrzymywać wiadomości z kodami, ale nic z tym nie zrobi. W końcu jednak zadziała mechanizm, który blokuje wysyłanie kodów na 12 godzin. Należy zaznaczyć, że blokada jest nakładana zarówno na atakującego, jak i także faktycznego właściciela konta.
Wstrzymanie wysyłania kodów nie oznacza nałożenia blokady na samo konto. Nadal można z niego korzystać, ale pod warunkiem, że nie postanowimy zalogować się ponownie lub na innym urządzeniu. Wówczas, jeśli nadal obowiązuje 12-godzinne wstrzymanie wysyłania kodów, to nie będziemy mogli przejść procesu weryfikacji.
Możliwa jest dezaktywacja konta
Niestety, to nie koniec złych wiadomości. Cyberprzestępca może teraz, po zablokowaniu wysyłania kodów weryfikacyjnych, skorzystać z drugiej podatności. Musi on założyć konto e-mail, a następnie napisać do pomocy technicznej WhatsAppa z informacją, że konto zostało skradzione.
Firma nie sprawdza tutaj, czy faktycznie jest on właścicielem konta – wystarczy, że poda numer telefonu ofiary i poprosi o dezaktywację konta. Nie pojawią się żadne dodatkowe pytania i niewykluczone, że zostanie uruchomiony zautomatyzowany proces dezaktywacji, bez wiedzy właściwego właściciela konta.
Jeśli dezaktywacja przebiegnie pomyślnie, co jest wysoce prawdopodobne, po około godzinie konto przestanie działać. Stracimy wówczas możliwość komunikacji z innymi użytkownikami.
Nikt nie przejął konta, po prostu zostało ono usunięte. Może wydawać się, że rozwiązanie jest dość łatwe, czyli wystarczy ponownie założyć konto. Niestety, tutaj wkracza wspomniany wyżej opisany mechanizm – nie możemy tego zrobić, aż 12-godzinna blokada zostanie zdjęta. Jeśli atak został przeprowadzony dość sprawnie, to najpewniej będziemy musieli poczekać 10-11 godzin (odchodzi 1-2 godziny na proces dezaktywacji konta).
Nie tylko dezaktywacja może być problematyczna
Okazuje się, że atakujący niekoniecznie może uprzykrzyć nam życie, korzystając z metody polegającej na wysłaniu wiadomości e-mail do pomocy technicznej WhatsAppa. Istnieje jeszcze jedna metoda oparta na pierwszej z przedstawionych podatności.
Jeśli cyberprzestępca poczeka 12 godzin, aby ponownie uzyskać kod weryfikacji i wykona łącznie trzy podobne cykle prób logowania, to uszkodzeniu może ulec licznik czasu. Zamiast 12 godzin do następnej próby, w aplikacji pojawi się informacja „spróbuj ponownie za -1 sekundy”. Błąd sprawia, że ofiara nie będzie miała już kolejnej próby – odmierzanie czasu po prostu przestanie działać.
Oczywiście aplikacja będzie działać aż do momentu, gdy użytkownik jest zalogowany. Problem pojawi się dopiero, gdy ofiara postanowi zalogować się ponownie lub na innym urządzeniu. Mamy tutaj do czynienia z analogiczną sytuacją, jak w przypadku pierwszej opisanej podatności, ale niestety już bez odmierzania czasu do próby ponownego uzyskania kodu weryfikacyjnego.
W tej sytuacji, jedynym wyjściem będzie kontakt z WhatsAppem i trzymanie kciuków, że ktoś faktycznie pomoże w ponownym uzyskaniu dostępu do konta.
Co należy zrobić?
Najpewniej najlepszym wyjściem jest przesiadka na inny komunikator – Telegram lub Signal. Nie wszyscy jednak mogą porzucić WhatsAppa, który dla wielu osób stał się podstawowym narzędziem komunikacji. Przejście na konkurencyjne rozwiązanie niekoniecznie jest tak bezproblemowe, jakby mogło się wydawać.
WhatsApp zaleca tutaj, aby podczas aktywacji uwierzytelniania wielopoziomowego podawać adres e-mail. Ma to pomóc podczas próby odzyskania konta. Nie jest to zbyt satysfakcjonująca porada, a co więcej, nie wiemy, czy firma planuje w najbliższym czasie usunąć przedstawione luki.
