Ερευνητές ασφάλειας εντόπισαν ένα νέο κενό στο σύστημα πιστοποίησης της υπηρεσίας WhatsApp, το οποίο επιτρέπει θεωρητικά σε οποιονδήποτε γνωρίζει τον αριθμό τηλεφώνου σου να σε κλειδώσει έξω από την εφαρμογή. Ακούγεται αρκετά ανησυχητικό, αλλά δεν είναι τόσο εύκολο όσο ακούγεται και, το κυριότερο, ο hacker ΔΕΝ αποκτά πρόσβαση στον λογαριασμό και στα δεδομένα σου.
Το ζήτημα αναλύθηκε από τους ερευνητές Luis Márquez Carpintero και Ernesto Canales Pereña σε άρθρο τους στο Forbes, όπου περιέργαψαν και τη διαδικασία:
- Αν κάποιος θέλει να σε κλειδώσει έξω από τον λογαριασμό σου, τότε θα πρέπει να γνωρίζει τον αριθμό σου και να προσπαθήσει να πραγματοποιήσει login ζητώντας κωδικό πιστοποίησης από την υπηρεσία.
- Το WhatsApp σταματά να στέλνει τέτοιους κωδικούς μετά από 12 ώρες ή μετά από έναν αριθμό αιτημάτων.
- Ο επιτιθέμενος μπορεί να δημιουργήσει ένα νέο email και να στείλει αίτημα πως έχασε τον κωδικό του ζητώντας από το WhatsApp να απενεργοποιήσει τον λογαριασμό.
- Το πρόβλημα εμφανίζεται εδώ, διότι το WhatsApp σε κλειδώνει έξω από την εφαρμογή χωρίς να εξετάσει αν η συγκεκριμένη διεύθυνση email σχετίζεται με τον λογαριασμό σου.
- Αφού συμβούν όλα τα παραπάνω, ο επιτιθέμενος θα χρειαστεί να επαναλάβει τη διαδικασία ακόμα 2 φορές και αφού περάσουν αυτές οι 36 ώρες, τότε εμφανίζεται το μήνυμα “Try again after -1 seconds.” κάθε φορά που προσπαθείς να μπεις στον λογαριασμό σου.
- Από εκεί και πέρα, θα πρέπει να επικοινωνήσεις με το τμήμα υποστήριξης του WhatsApp για να ξεκλειδώσουν τον λογαριασμό.
Η επίσημη τοποθέτηση του WhatsApp για το ζήτημα είναι ότι θα πρέπει να δηλώνουμε μια διεύθυνση email όταν γίνεται η ρύθμιση του 2FA (two-step authentication) προκειμένου να διευκολύνεται το έργο του τμήματος εξυπηρέτησης σε περίπτωση που συμβεί κάτι τέτοιο.
Δεν ξέρουμε αν σας καλύπτει μια τέτοια απάντηση. Μοιάζει απίθανο σενάριο, αλλά αν σου τύχει και πάλι θα πρέπει να έρθεις σε επικοινωνία με τη WhatsApp, ενώ θα μπορούσαν απλά να μη δέχονται αιτήματα απενεργοποίησης λογαριασμών από άσχετες διευθύνσεις email…
*Ακολουθήστε το Techgear.gr στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα!
[via]
