Репутация одного из наиболее широко используемых в мире мессенджеров последнее время подвергается ряду негативных событий. Во-первых, крупная утечка конфиденциальной информации вызвала обеспокоенность пользователей. Затем глава Facebook Inc. был обвинен в использовании конкурирующего мессенджера. А теперь исследователи кибербезопасности обнаружили новую угрозу, известную как «бомба замедленного действия». Выяснилось, что любой пользователь WhatsApp может быть принудительно удален из приложения на произвольный срок, для этого требуется только его номер телефона.
Следует подчеркнуть, что уязвимость затрагивает не только приложение, но и систему поддержки пользователей компании в целом Facebook. Большая часть запросов обрабатывается в автоматическом режиме, однако для получения ответа от сотрудника «на другом конце» требуется значительное усилие. Злоумышленник может без труда использовать подобную клиентоориентированность. Два исследователя, специализирующихся на сетевых угрозах, — Луис Маркес Карпентеро ( Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.
При смене устройства, на котором используется WhatsApp, эта комбинация цифр приходит в виде SMS-сообщения на номер, который нужно ввести на экране приветствия мессенджера. При этом указанный номер не обязан соответствовать номеру, привязанному к SIM-карте в устройстве. На практике это может оказаться просто планшетом, лишенным модуля сотовой связи. Это могло бы показаться более удобным, но если злоумышленник многократно (обычно 10-12 раз) запросит код по номеру жертвы, сервер WhatsApp заблокирует отправку кодов на 12 часов.
С первого взгляда ситуация не выглядит критичной. Пользователь получит несколько кодов, которые, скорее всего, будут проигнорированы, поскольку они не были запрошены. Возможно, произошла ошибка. В то же время, злоумышленник, вместо настоящих кодов, подставит в мессенджер случайные цифры, чтобы спровоцировать сообщение об ошибке. После этого он направит запрос в службу поддержки WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.
Автоматизированная система обработает запрос, и учетная запись будет временно заблокирована. В этот момент настоящий пользователь получит уведомление о необходимости повторного входа в аккаунт и подтверждения личности с помощью кода из SMS — который он не сможет обойти, поскольку 12-часовая блокировка после некорректного ввода применяется к учетной записи, а не к конкретному устройству.
Безусловно, пользователь также свяжется со службой технической поддержки и получит автоматический ответ. Чтобы получить развернутый ответ от специалиста Facebook Inc., процесс разблокировки, требующий ввода шестизначного кода, может занять не часы, а дни. Как только обратный отсчет дойдет до нуля, злоумышленник повторит простую операцию. Он повторит запрос одноразовых числовых паролей около двенадцати раз, а затем введет случайные цифры вместо них. Начавшийся повторно 12-часовой отсчет станет заключительным. После трех неудачных попыток подбора кодов сервер аутентификации навсегда заблокирует пользователя. Формально о блокировке ему не сообщат: таймер просто начнет показывать -1 секунду.
Не существует надежных мер для предотвращения подобных атак. Даже если пользователю удастся восстановить доступ к аккаунту через службу поддержки, злоумышленник сможет повторить свои действия. Двухфакторная аутентификация также не гарантирует защиту, поскольку она активируется после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу, поступившему по электронной почте, осуществляется автоматически. Специалисты по кибербезопасности определили, что алгоритм, обрабатывающий письмо, просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.
Исключение пользователя из мессенджера может оказаться не самой серьёзной угрозой для его безопасности. Однако, при внимательном рассмотрении, становится очевидно, что лишение человека возможности легко общаться или получать важную информацию может быть не менее значимым фактором. Также нельзя исключать возможность использования этой функции для намеренного причинения вреда и порчи жизни.
Как пишет портал Android Police, представители Facebook Inc. они уклончиво комментируют сложившуюся ситуацию, называя ее нарушением пользовательского соглашения мессенджера. Однако не разъясняется, могут ли подобные детали сдерживать злоумышленников и какую пользу это принесет пострадавшим.
По мнению журналистов, от корпорации вряд ли стоит ожидать каких-либо действий. К такому заключению они пришли, опираясь на опыт предыдущих ситуаций, когда эксперты в области кибербезопасности выявляли недостатки в продуктах Facebook.
Если подобная атака затронет основателя компании Марка Цукерберга, то, вероятно, будут изменены механизмы обработки обращений в службу технической поддержки или детализированность процедур авторизации пользователей. Напомним, что в утечке персональных данных более чем полумиллиарда пользователей социальной сети оказался и его номер телефона. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.