Populárna komunikačná aplikácia WhatsApp trpí problémom, kvôli ktorému môže ktorýkoľvek z jej 2 miliárd používateľov stratiť prístup k svojmu účtu. Problém spočíva v nesprávne nastavenom overovacom procese, ktorý môže záškodník zneužiť len vďaka telefónnemu číslu používateľa. Zneužitím tejto chyby tak môže vymknúť z účtu jeho pravého majiteľa. Na problém upozornil portál XDA-Developers s odvolaním na Forbes.

Problém vo WhatsApp odhalila dvojica bezpečnostných výskumníkov Luis Márquez Carpintero a Ernesto Canales Pereña, ktorí potvrdili, že záškodník nepotrebuje na zneužitie chyby ani špeciálny softvér. Stačí mu k tomu poznať telefónne číslo používateľa a následne ho dokáže jednoduchým trikom zbaviť prístupu do jeho WhatsApp účtu.

NEPREHLIADNI
Šíri sa automaticky cez WhatsApp. Slovák odhalil nebezpečný vírus, ktorý útočí na Androidy

V tomto prípade dokonca používateľovi nepomôže ani dvojfaktorové zabezpečenie. Celý trik spočíva v niekoľkých krokoch. Záškodník si najprv nainštaluje WhatsApp na druhý smartfón a pomocou telefónneho čísla iného používateľa požiada o overenie. Aplikácia v takom prípade zasiela overovací 6-miestny kód. Ten príde na pôvodné číslo nič netušiaceho majiteľa účtu.

Opakované zneužitie problému vo WhatsApp ťa môže pripraviť o prístup k účtu

Pokiaľ však záškodník zadá niekoľkokrát po sebe overovací kód nesprávne, WhatsApp obmedzí overenie na ďalších 12 hodín. Samotný používateľ tak síce dostane overovací kód aj keď on sám oň nepožiadal, no ak zadá útočník nesprávny kód, s účtom sa po prvom obmedzení účtu nič nestane a majiteľ ho môže ďalej bez zmeny používať.

Zobraziť celú galériu (4)

Screenshot/WhatsApp/Forbes

Takýmto spôsobom však môže záškodník požiadať o overenie ešte 2-krát, pričom zakaždým WhatsApp obmedzí po nesprávnom zadaní overovacieho kódu overenie na ďalších 12 hodín. Počas tretieho cyklu takéhoto overenia sa však odpočítavanie v aplikácii „pokazí“ a miesto predošlého odpočítavania dvanástich hodín sa zobrazí chybný údaj. Časovač bude ukazovať čas „-1 sekunda“.

Zobraziť celú galériu (4)

Screenshot/WhatsApp/Forbes

Tento údaj však bude vidieť len útočník, ktorý opakovane žiadal o verifikačný kód a nesprávne ho zadával. Po zobrazení chybného odpočítavania sa nebude môcť on sám do WhatsApp na smartfóne vôbec prihlásiť, pôvodný majiteľ účtu si ale zatiaľ nemusí nič všimnúť. Problém nastáva až potom, čo záškodník požiada cez email WhatsApp o deaktiváciu telefónneho čísla.

Zobraziť celú galériu (4)

Screenshot/Forbes

Aplikácia potom požiada o overenie telefónneho čísla, ktoré útočník pozná, a následne pomocou automatizovaného procesu zruší telefónne číslo pravého majiteľa účtu. Týmto spôsobom bude používateľ „vymknutý“ zo svojho konta na WhatsApp a na prekvapenie dostane len notifikáciu.

Zobraziť celú galériu (4)

Screenshot/Forbes

V upozornení nájde informáciu, že jeho telefónne číslo nie je na jeho smartfóne viac registrované, čo môže byť spôsobené registráciou na inom zariadení. Pre opätovné prihlásenie WhatsApp žiada znova overiť telefónne číslo. Až následne, keď pravý majiteľ účtu požiada o overenie, uvidí aj on chybné odpočítavanie s časomierou zobrazujúcou údaj „-1 s“. Kvôli tomu sa tak nebude môcť do účtu vôbec prihlásiť.

Pomocou zneužitia tejto chyby tak môže ktokoľvek zablokovať inému používateľovi prístup k účtu len na základe telefónneho čísla už v priebehu pár dní. WhatsApp aktuálne nepotvrdil, že by spomenutý problém plánoval opraviť, a to aj napriek tomu, že sa môže rýchlo rozšíriť. Riziko totiž hrozí obrovskému množstvu používateľov aplikácie, ktorí môžu stratiť prístup k účtu.

Ďalšie články:

• WhatsApp odhalil, čo bude s ľuďmi, ktorí nebudú súhlasiť so zdieľaním dát s Facebookom
• WhatsApp vylepšil desktopovú aplikáciu. Pridáva užitočnú funkciu, ktorú majú smartfóny roky
• WhatsApp chystá veľkú novinku pre správy. Uľahčí život majiteľom iPhonov aj Androidov