test adv
,

Любой аккаунт WhatsApp можно заблокировать, зная его номер. Решения пока нет

Компания не торопится комментировать обнаруженную уязвимость, хотя ей может воспользоваться почти любой человек

В мессенджере WhatsApp обнаружили беспрецедентную дыру в системе безопасности. Ошибка позволяет полностью заблокировать действие любого аккаунта без использования каких-либо дополнительных средств — нужен лишь номер телефона пользователя. О находке изданию Forbes сообщили исследователи безопасности Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перена (Ernesto Canales Pereña). Отмечается, что в настоящее время никакого решения этой проблемы не предусмотрено.

Блокировка аккаунта осуществляется всего в два несложных этапа. Сначала злоумышленник устанавливает WhatsApp на неизвестное устройство и вводит номер телефона жертвы якобы для активации. По двухфакторной аутентификации мессенджер присылает первый код безопасности оригинальному пользователю. После нескольких таких повторных и впоследствии неудачных попыток аккаунт становится заблокированным. Несмотря на то, что процесс временный (длительность блокировки составляет 12 часов), злоумышленник, если захочет, может сделать его чуть ли не перманентным.

После успешной блокировки злоумышленник приступает ко второй части плана. При уже заблокированном аккаунте злоумышленник запрашивает сообщение от службы поддержки для восстановления доступа, указывая свой адрес электронной почты и выдавая себя за жертву. Он утверждает, что устройство было потеряно или украдено, поэтому аккаунт должен быть деактивирован. Служба поддержки подтверждает запрос отправкой ответного письма и приостанавливает действие аккаунта без прочих проверок. Если злоумышленник будет постоянно повторять процесс, то можно создать полупостоянную блокировку.

Любой аккаунт WhatsApp можно заблокировать, зная его номер. Решения пока нет
Как выглядит временная блокировка аккаунта WhatsApp, совершённая злоумышленником | Forbes

Результаты исследования вызывают тревогу, но, по крайней мере, представленный метод не может быть использован для фактического получения доступа к аккаунту. Конфиденциальные сообщения и контакты не раскрываются. Пресс-служба WhatsApp воздерживается от подробных комментариев по поводу ситуации, однако, по словам представителя, предоставление адреса электронной почты вместе с другими личными данными может помочь избежать подобных атак. Тем не менее, в таком случае ответственность за безопасность по-прежнему возлагается на WhatsApp, с чем разработчики мессенджера, очевидно, не очень хорошо справляются.

В то же время WhatsApp предупредил, что использование обнаруженной уязвимости нарушает условия предоставления услуг компании. Устное уведомление нельзя назвать особо сдерживающим фактором, поскольку возможность напасть на чужой аккаунт есть абсолютно у кого угодно. По мнению издания Android Police, на ошибку обратят внимание, когда кто-нибудь попробует заблокировать Марка Цукерберга, ведь недавно его номер телефона попал в сеть в рамках крупной утечки, оказавшись в затронутой базе.


Последнее изменение:
 
n1kon4525
n1kon4525, 16 апреля 2021, 14:12   #   (...)
Такая же фишка есть и в Mi Account: полгода назад оставил свой телефон в такси. Почти сразу нашел таксиста, но он сказал что ничего не находил. Телефон был привязан к Ми Аккаунту и включена служба поиска. Но по последним данным поиска телефона он находился рядом с моим подъездом. Вышел поискал — нету. Прошло месяца четыре. Я уже восстановил все симки. И вот, в один прекрасный день мне приходит сообщение что телефон объявился в сети, заблокирован Ми Аккаунтом, выведено сообщение куда обратиться в случае находки и нашедший оповещен звуковым сигналом. На всякий случай отправил команду на удаление всей информации с телефона. Смотрю геолокацию — рядом с торговым комплексом, а там есть ларёк по продаже б/у телефонов. Ну, думаю, попался ска. Пока собирался идти, отправил еще раз команду на подачу звукового сигнала, но телефон уже был выключен. Через час-полтора пришло сообщение SMS что получены новые координаты и ссылка на просмотр этих координат. Самое прикольное что ссылка отправляла на китайский сайт. Тот долго думал и не открывался (если что SMS приходили на SIM установленную старый кнопочный телефон). Потом потеряшка опять отключалась. В Ми Аккаунте отображалась только последняя точка у ТК, естественно ни кто ничего не знает. На следующий день с периодичностью два-три раза в час стали приходить сообщения о попытке входа в Ми Аккаунт. Зашел в МиАк с компьютера — телефон то появляется то пропадает из сети. Предпоследнее сообщение пришло на следующий день под утро, примерно такого содержания: в целях безопасности ми аккаунта устройство будет удалено через 24 часа, чтобы отменить и ссылка (опять на китайский сайт и опять не открывающаяся). По итогу телефон был отключен от аккаунта. Дальнейшая его судьба не известна. Я даже не представляю остался он заблокированным после того как ми акк его удалил.
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием