18 Июля 2023 13:43 18 Июл 2023 13:43 |

Поделиться

Кто угодно может уничтожить чужой аккаунт в WhatsApp без ведома владельца. Спасения от этого нет

Новый сюрприз от WhasApp

WhatsApp, самый популярный мессенджер в мире (более 2 млрд активных пользователей), содержит уязвимость, которая позволяет удаленно деактивировать любой пользовательский профиль. Проблему обнаружил ИБ-эксперт Джейк Мур (Jake Moore), работающий в ушедшей из России компании Eset.

Новую проблему WhatsApp он осветил в своем блоге в Twitter (заблокированная в России американская соцсеть). Мур выложил скриншоты, подтверждающие, что отключить профиль пользователя в WhatsApp может любой, у кого есть привязанный к нему номер телефона. Притом хакером для этого быть не нужно – достаточно лишь попросить о помощи техподдержку мессенджера, и те с радостью заблокируют профиль, даже если об этом их просит совершенно посторонний человек.

По сути, Джейк Мур выявил недокументированную функцию техподдержки WhatsApp. Она действительно принимает запросы на блокировку профилей от их владельцев, если их смартфон или другой гаджет с установленным WhatsApp был утерян или украден. Но Джейк задался вопросом, а что будет, если написать в поддержку с такой просьбой и указать чужой номер. Как оказалось, все работает столь же безупречно – специалисты поддержки выполнят просьбу.

Поверить на слово

Мур доказал, что в ответ на просьбу об деактивации аккаунта техподдержка не стала запрашивать у него никаких подтверждений личности – он даже писал свое письмо с адреса, который не имел к номеру никакого отношения. Другими словами, поддержка WhatsApp не утруждает себя дополнительным проверками, и у этого есть свои плюсы и минусы.

О минусах в деталях рассказал Джейк Мур, а к плюсам относится возможность быстро заблокировать собственный профиль, если телефон оказался, например, у конкурентов или у силовиков, пишет Forbes. В этом случае быстрая отправка письма в техподдержку мессенджера лишит посторонних доступа к сообщениям.

Защиты нет

Мур отметил, что выявленная им уязвимость WhatsApp потенциально может быть использованf для выполнения атаки типа «отказ в обслуживании» (denial of service) против пользователя путем написания скрипта, который непрерывно отправляет электронные письма с просьбой о деактивации.

Наглядное доказательство, предоставленное Муром

Как пишет Forbes, на июль 2023 г. не существовало никакого способа защититься от этой атаки. То же подтвердил изданию и сам Мур: «Злоумышленники могут очень легко деактивировать любой номер WhatsApp, в результате чего эта учетная запись не будет получать никаких сообщений, пока они не откроют свое приложение и не активируют его повторно. Это можно было бы проводить постоянно, и казалось бы, нет никакого способа обойти это в том виде, в каком оно существует сейчас. Это очень тревожно, так как любой адрес электронной почты может деактивировать любой номер WhatsApp одним письмом в службу поддержки WhatsApp».

Что касается возможного смягчения последствий, Мур указывает на двухэтапную авторизацию, но есть одна загвоздка. «Двухэтапная проверка предлагается для всех учетных записей WhatsApp, – сказал Мур. Однако она не включена по умолчанию, что остается проблемой для взломанных учетных записей. Когда двухэтапная проверка включена, требуется адрес электронной почты, поэтому, естественно, это может быть единственный адрес электронной почты, который позволяет использовать метод деактивации».

Все не так уж плохо

Проблема WhatsApp, на которую обратил внимание Мур, не настолько большая, как может показаться на первый взгляд. Деактивация профиля не равна его удалению – аккаунт будет сохранен, и собеседники даже смогут отправлять его владельцу сообщения. Вся корреспонденция будет храниться в течение 30 дней с момента блокировки профиля – ровно столько же «проживет» и сама учетная запись.

Другими словами, у владельца аккаунта будет ровно 30 дней на то, чтобы разблокировать его. В противном случае он будет удален навсегда, и придется заново регистрироваться и лишиться всех сообщений.

Для повторной активации профиля нужно просто запустить WhatsApp и авторизоваться со своим номером телефона. На него придет код подтверждения, после ввода которого профиль будет восстановлен, и доступ к переписке бвновь будет открыт.

Слишком медленная техподдержка

Обнаруженный Муром способ деактивации аккаунта WhatsApp на деле существует на протяжении нескольких лет в различных вариациях. Об одной из них CNews писал еще в апреле 2021 г., и и ей к тому моменту уже было несколько месяцев.

Выявившие проблему ИБ-эксперты обратились к разработчикам WhatsApp с просьбой устранить ее, но те не стали выполнять их просьбу, что вынудило их опубликовать информацию о недочете в Сети. Однако и это не возымело никакого действия – найденный Муром метод блокировки аккаунта основан на той же уязвимости, вот только по прошествии двух лет оказалось, что проэксплуатировать ее стало намного проще.

Георгий Дорофеев

Поделиться

Подписаться на новости Короткая ссылка