WhatsApp ma poważny problem z zabezpieczeniami; można utracić dostęp do konta
WhatsApp ma kolejny problem. Tym razem chodzi o lukę w zabezpieczeniach, która pozwala na zablokowanie dostępu do konta w banalny sposób.
- „nowa” luka w zabezpieczeniach aplikacji WhatsApp pozwala na zablokowanie i skasowanie konta w banalnie prosty sposób – wystarczy numer telefonu;
- problem ma być obecny od dawna i po części wynika z niesprawdzania nadawców zgłoszeń o zgubieniu urządzenia z aplikacją oraz błędu systemu generowania kodów weryfikacyjnych.
Twórcy komunikatora WhatsApp mają powody do narzekania w ostatnich miesiącach. Nowy, kontrowersyjny regulamin usługi zniechęcił do aplikacji miliony użytkowników, a doniesienia na temat złośliwego oprogramowania raczej nie poprawiły jej wizerunku. Jakby tego było mało, osoby korzystające z WhatsApp muszą zmierzyć się z nową (tak to nazwijmy) luką, która pozwala na skasowanie konta – i to bez żadnej hakerskiej wiedzy.
Problem po raz pierwszy opisano w artykule czasopisma Forbes autorstwa Zaka Doffmana. Badacze Luis Márquez Carpintero i Ernesto Canales Perena udowodnili mu, że są w stanie zablokować jego WhatsApp w banalnie prosty sposób. Jest to możliwe za sprawą dwóch nakładających się na siebie problemów aplikacji. Pierwszym krokiem jest próba zalogowania się do komunikatora z innego urządzenia i błędne wpisanie kodu weryfikacyjnego. Po wystarczającej liczbie nieudanych podejść WhatsApp zablokuje wysyłanie kolejnych kombinacji na 12 godzin.
Do tego momentu nie jest to większym problemem dla użytkownika, pomijając wysyp kolejnych powiadomień i SMS-ów (chyba że wyloguje się on z aplikacji). Jednakże teraz „haker” może wysłać wiadomość do wsparcia technicznego WhatsAppa z nowego e-maila o rzekomym zgubieniu urządzenia z zainstalowaną aplikacją i prośbą o dezaktywację konta. I tu zaczyna się robić zabawnie. Z eksperymentu Luisa Márqueza Carpintero i Ernesto Canalesa Pereny wynika, że proces kasowania konta WhatsApp odbywa się całkowicie automatycznie, bez żadnej próby potwierdzenia tożsamości nadawcy. Skoro o tym mowa, włączenie dwuetapowej weryfikacji logowania wcale nie utrudnia wykonania żadnego z tych oraz następnych kroków.
Oczywiście mamy 30 dni, nim dezaktywowane konto zostanie permanentnie skasowane. Wystarczy zalogować się do WhatsAppa, by zatrzymać ten proces. Chyba że akurat nie możemy otrzymać kodów weryfikacyjnych, bo ktoś wcześniej nadużywał systemu i robi to ponownie po upływie wymaganych 12 godzin.
To jednak wciąż dużo zachodu dla „hakera” i można założyć, że przez 30 dni prędzej czy później użytkownikowi uda się pozyskać kod i zalogować do konta przed atakującym. Sęk w tym, że w istocie zablokowanie dostępu to kwestia nie de facto miesiąca, lecz 36 godzin. Jeśli bowiem ponownie „przeciążymy” generator, to przy trzecim cyklu zamiast 12 godzin program każe nam czekać „-1 sekundę”, co – jak łatwo zgadnąć – całkowicie blokuje wpisywanie kodów. Nic też nie stoi na przeszkodzie, by odwrócić kolejność kroków: najpierw wymusić permanentną blokadę, a dopiero potem wysłać e-mail do wsparcia technicznego.
Co najzabawniejsze, błąd zgłoszony przez Forbesa bynajmniej nie jest niczym nowym. Tsachi Ganot, prezes izraelskiej firmy Pandora Security, stwierdził, że jeszcze w grudniu jego zespół donosił (via Haaretz) o podobnej luce. Co ważne, nawet Pandora Security bynajmniej nie odkryła tego exploitu jako pierwsza. Spółka dowiedziała się o nim poprzez problemy swoich klientów, a dopiero potem przetestowała jego mechanizm. W rozmowie z Forbesem Ganot stwierdził też, że o sprawie doniesiono Facebookowi, ale raport został całkowicie zignorowany. Dopiero po tym firma Pandora Security opublikowała artykuł poświęcony luce.
Najwyraźniej tak samo było w przypadku tekstu Zaka Doffmana, bo – jak czytamy w aktualizacji wiadomości Forbesa – dziennikarz doniósł Facebookowi o swoich odkryciach już 25 marca. Spółka słowem nie wspomniała o planach naprawienia tego „błędu”. Zapewniono jedynie, że osoby uprawiające taki proceder muszą liczyć się z konsekwencjami. Zalecono też dodawanie adresu e-mail przy dwuetapowej weryfikacji, co ma być pomocne w przypadku napotkania przez użytkownika tego typu problemu.
W całym tym zamieszaniu jedynym błogosławieństwem jest fakt, że owa luka nie pozwala na przejęcie konta lub jakichkolwiek zebranych na nim danych. Innymi słowy, „haker” nie ma żadnych bezpośrednich korzyści z przeprowadzonego ataku. Nie żeby brakowało ludzi, którzy mogą to zrobić z czystej złośliwości. Niewykluczone, że po tych i innych „ciekawych” informacjach kolejni użytkownicy pójdą śladem Marka Zuckerberga i przesiądą się na konkurencyjne komunikatory.
