Платим блогерам
Блоги
Блогер
В сервисе обнаружена очередная уязвимость

реклама

У самого популярного в мире мессенджера WhatsApp обнаружилась большая проблема с безопасностью, с которой разработчики пока ничего не делают. В последнее время приложение столкнулось с серьёзными проблемами, включая массовый уход пользователей с платформы после того, как было объявлено о новой политике конфиденциальности. Она требует подключения учётных записей WhatsApp к Facebook. Теперь к проблеме конфиденциальности добавляется явная угроза безопасности.

Пара исследователей обнаружила уязвимость, которая позволяет злоумышленникам заблокировать кому угодно доступ к их учётной записи WhatsApp, используя привязанный к этой учётной записи номер телефона. При регистрации WhatsApp запрашивает номер телефона. Злоумышленник устанавливает приложение у себя на устройстве и указывает ваш номер. На него отправляется код подтверждения, который хакер может запрашивать снова и снова. После слишком большого количества запросов дальнейшие попытки входа в систему будут заблокированы на 12 часов. Это мало что меняет, если пользователь уже выполнил вход в свой аккаунт. Настоящая проблема возникает дальше.

реклама

Злоумышленник может отправить электронное письмо в службу поддержки WhatsApp с просьбой деактивировать номер из-за утери или кражи телефона якобы своего телефона, который на самом деле ваш. WhatsApp не спрашивает никаких подтверждений и служба поддержки может выполнить требование и деактивировать учётную запись. Если попытаться снова зайти в приложение, злоумышленник может повторять процесс до тех пор, пока блокировка не станет окончательной.

Такая атака работает даже при включенной двухфакторной аутентификации и указывает на одну из основных проблем с двухфакторной аутентификацией на основе СМС. Пока не похоже, что разработчики WhatsApp собирается устранять эту уязвимость.

Как же защитить свой аккаунт? Включить двухфакторную аутентификацию в WhatsApp на Android  всё же не помешает. Для регистрации номера телефона в приложении требуется код, но можно добавить электронное письмо, что и рекомендуется сделать. WhatsApp заявляет, что пользователи должны добавить адрес электронной почты к своим учётным данным, что может пригодиться в подобной ситуации.

Если же этот недостаток приложения станет последней каплей, можно перейти на мессенджеры Telegram или Signal, что многие в этом году уже и сделали. Оба они предлагают аналогичные функции и сквозное шифрование данных.

Источник: androidcentral.com
2
Показать комментарии (2)

Популярные новости

Сейчас обсуждают