Kritický problém WhatsApp. Ľudia môžu natrvalo stratiť prístup k účtu, stačí na to jednoduchý „trik“
Populárna komunikačná aplikácia WhatsApp trpí problémom, kvôli ktorému môže ktorýkoľvek z jej 2 miliárd používateľov stratiť prístup k svojmu účtu. Problém spočíva v nesprávne nastavenom overovacom procese, ktorý môže záškodník zneužiť len vďaka telefónnemu číslu používateľa. Zneužitím tejto chyby tak môže vymknúť z účtu jeho pravého majiteľa. Na problém upozornil portál XDA-Developers s odvolaním na Forbes.
Problém vo WhatsApp odhalila dvojica bezpečnostných výskumníkov Luis Márquez Carpintero a Ernesto Canales Pereña, ktorí potvrdili, že záškodník nepotrebuje na zneužitie chyby ani špeciálny softvér. Stačí mu k tomu poznať telefónne číslo používateľa a následne ho dokáže jednoduchým trikom zbaviť prístupu do jeho WhatsApp účtu.
NEPREHLIADNI
Šíri sa automaticky cez WhatsApp. Slovák odhalil nebezpečný vírus, ktorý útočí na Androidy
V tomto prípade dokonca používateľovi nepomôže ani dvojfaktorové zabezpečenie. Celý trik spočíva v niekoľkých krokoch. Záškodník si najprv nainštaluje WhatsApp na druhý smartfón a pomocou telefónneho čísla iného používateľa požiada o overenie. Aplikácia v takom prípade zasiela overovací 6-miestny kód. Ten príde na pôvodné číslo nič netušiaceho majiteľa účtu.
Opakované zneužitie problému vo WhatsApp ťa môže pripraviť o prístup k účtu
Pokiaľ však záškodník zadá niekoľkokrát po sebe overovací kód nesprávne, WhatsApp obmedzí overenie na ďalších 12 hodín. Samotný používateľ tak síce dostane overovací kód aj keď on sám oň nepožiadal, no ak zadá útočník nesprávny kód, s účtom sa po prvom obmedzení účtu nič nestane a majiteľ ho môže ďalej bez zmeny používať.
Takýmto spôsobom však môže záškodník požiadať o overenie ešte 2-krát, pričom zakaždým WhatsApp obmedzí po nesprávnom zadaní overovacieho kódu overenie na ďalších 12 hodín. Počas tretieho cyklu takéhoto overenia sa však odpočítavanie v aplikácii „pokazí“ a miesto predošlého odpočítavania dvanástich hodín sa zobrazí chybný údaj. Časovač bude ukazovať čas „-1 sekunda“.
Tento údaj však bude vidieť len útočník, ktorý opakovane žiadal o verifikačný kód a nesprávne ho zadával. Po zobrazení chybného odpočítavania sa nebude môcť on sám do WhatsApp na smartfóne vôbec prihlásiť, pôvodný majiteľ účtu si ale zatiaľ nemusí nič všimnúť. Problém nastáva až potom, čo záškodník požiada cez email WhatsApp o deaktiváciu telefónneho čísla.
Aplikácia potom požiada o overenie telefónneho čísla, ktoré útočník pozná, a následne pomocou automatizovaného procesu zruší telefónne číslo pravého majiteľa účtu. Týmto spôsobom bude používateľ „vymknutý“ zo svojho konta na WhatsApp a na prekvapenie dostane len notifikáciu.
V upozornení nájde informáciu, že jeho telefónne číslo nie je na jeho smartfóne viac registrované, čo môže byť spôsobené registráciou na inom zariadení. Pre opätovné prihlásenie WhatsApp žiada znova overiť telefónne číslo. Až následne, keď pravý majiteľ účtu požiada o overenie, uvidí aj on chybné odpočítavanie s časomierou zobrazujúcou údaj „-1 s“. Kvôli tomu sa tak nebude môcť do účtu vôbec prihlásiť.
Pomocou zneužitia tejto chyby tak môže ktokoľvek zablokovať inému používateľovi prístup k účtu len na základe telefónneho čísla už v priebehu pár dní. WhatsApp aktuálne nepotvrdil, že by spomenutý problém plánoval opraviť, a to aj napriek tomu, že sa môže rýchlo rozšíriť. Riziko totiž hrozí obrovskému množstvu používateľov aplikácie, ktorí môžu stratiť prístup k účtu.
Ďalšie články:
- WhatsApp odhalil, čo bude s ľuďmi, ktorí nebudú súhlasiť so zdieľaním dát s Facebookom
- WhatsApp vylepšil desktopovú aplikáciu. Pridáva užitočnú funkciu, ktorú majú smartfóny roky
- WhatsApp chystá veľkú novinku pre správy. Uľahčí život majiteľom iPhonov aj Androidov
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Dominikovi z účtu zmizlo 900 € a nikto nevie, kde skončili. Banky varujú Slovákov, aby neprišli o všetko
Ak zneužiješ umelú inteligenciu, utopíš sa v problémoch. EÚ schválila prísne pravidlá
Vymysleli unikátnu sociálnu sieť. AI v nej ťa zbaví osamelosti
Hackeri môžu mať aj tvoje heslá. Na Slovákov zneužili známu apku, podvod propagoval aj Google
Pirátiš filmy a seriály na internete? Toto už vo veľkom skončí, nové opatrenia platia aj na Slovensku
- 24 hod
- 48 hod
- 7 dní
-
- Ľudstvo urobí absurdnú vec, aby šetrilo energiu. Je to chyba, hovorí štúdia zo Slovenska
- Intel odhalil najvýkonnejší procesor na svete, ktorý zlomil 4 svetové rekordy. Zo slovenskej ceny sa rozplačeš
- Slovensko bude navždy zaostávať. Šutaj Eštok zrušil kľúčový projekt digitalizácie, lebo sa mu nepáči
- Čína bude vystrelovať astronautov do vesmíru. Odhalila šialený vynález, ktorý NASA nezvládla postaviť
- Slováci ju milujú. Obľúbená značka áut mení názov a prechádza na elektromobily
-
- Ľudstvo urobí absurdnú vec, aby šetrilo energiu. Je to chyba, hovorí štúdia zo Slovenska
- Intel odhalil najvýkonnejší procesor na svete, ktorý zlomil 4 svetové rekordy. Zo slovenskej ceny sa rozplačeš
- Slovensko bude navždy zaostávať. Šutaj Eštok zrušil kľúčový projekt digitalizácie, lebo sa mu nepáči
- Čína bude vystrelovať astronautov do vesmíru. Odhalila šialený vynález, ktorý NASA nezvládla postaviť
- Slováci ju milujú. Obľúbená značka áut mení názov a prechádza na elektromobily
-
- Medzi Zemou a Marsom sa deje niečo mimoriadne zvláštne
- Marvel práve zrušil tri svoje filmy, týchto hrdinov si videl naposledy
- Blíži sa dychberúce zatmenie Slnka. Milióny ľudí uvidia úžasný vesmírny jav
- Lepšie sci-fi na Netflixe tento rok neuvidíš. V prvej ukážke bojuje Jennifer Lopez s robotmi
- Je tu šanca, že nepoužívaš najrýchlejší prehliadač. Nový test konečne odhalil pravdu
Nemecko zintenzívnilo výskum a vývoj v oblasti umelej inteligencie
Samosprávy môžu žiadať financie na zaistenie kyberbezpečnosti do konca apríla
AI upozornila na snahy Ruska o zmenu etnického zloženia Krymu
Tender na nový informačný systém obchodného registra stále neukončili
Najväčšia autopožičovňa na svete Hertz mení šéfa aj stratégiu, elektromobily už nechce
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené