Откраднати WhatsApp профили заради уязвимост в гласовата поща
Кодът за сигурност може да бъде прослушан и използван за кражба на чужд акаунт
Последен ъпдейт на 13 октомври 2018 в 08:27 ч.
Измамници могат да крадат чужди профили в WhatsApp, злоупотребявайки с начина, по който мобилното приложение изпраща кодове за сигурност. Бум на такива атаки от няколко седмици според Naked Security има в Израел. Проблемът е толкова голям, че местната агенция NCSA, която се грижи за информационната сигурност на гражданите, е излязла с предупреждение.
Атаката засяга потребителите, които използват гласова поща. Най-напред авторът на атаката се опитва да регистрира WhatsApp профил с телефонния номер на жертвата си. При всеки опит приложението изпраща 6-цифрен код за автентикация като SMS до телефонния номер на жертвата.
Умишлено това се прави по време, когато жертвата няма достъп до телефона си: например късно вечерта, докато спи. Освен като SMS, WhatsApp дава възможност да се изпрати 6-цифрения код и като гласово съобщение. Тъй като жертвата не вдига телефона си, съобщението отива в гласовата поща.
От там то може да бъде прослушано след въвеждането на код за сигурност. Този код е еднакъв за всички потребители, когато си активират гласовата поща. Много от тях никога не го променят и точно това създава уязвимостта. Със зададената от мобилния оператор парола гласовото съобщение може да бъде прослушано. По този начин авторът на атаката получава контрол над чуждия профил.
За да е успешна атаката трябва да са налице редица условия. Набелязаният потребител трябва да използва гласова поща и да не е променял зададения от мобилния оператор код за достъп до записаните съобщения. Освен това, ако абонатът използва двуфакторна автентикация в WhatsApp, атаката няма да проработи.
Двуфакторната автентикация е допълнителен защитен слой, който предпазва потребителя от кражба на дигитална идентичност или ценен информационен ресурс. Тя предотвратява злоупотреби дори ако някой знае паролата за достъп до онлайн профил, отдалечен достъп до компютър и т.н.