Испанский летчик (ervol) wrote,
Испанский летчик
ervol

Category:

WhatsApp всё?

Новый неприятный сюрприз для двух миллиардов пользователей WhatsApp: в приложении нашли лазейки, из-за которых
удаленный злоумышленник может с легкостью деактивировать WhatsApp на телефоне пользователя, а затем лишить его доступа к аккаунту. Об этом рассказал Зак Доффман в своем материале для Forbes.
Доффман заявил, что архитектура WhatsApp отстает от конкурентов: в приложении отсутствуют функции доступа с нескольких устройств и полностью зашифрованные резервные копии.

В WhatsApp обнаружили серьезную уязвимость
Даже двухфакторная аутентификация в WhatsApp не предотвращает новую угрозу, предупредил автор. Новая уязвимость связана с двумя отдельными процессами WhatsApp, каждый из которых имеет фундаментальный недостаток: речь идет о привязке к номеру телефона и возможности заблокировать доступ к аккаунту, написав обращение в службу поддержки.
Злоумышленник может ввести номер телефона жертвы в приложении, после чего сервис запросит у него код подтверждения (обычно отправляется в SMS или с помощью звонка). Доступов к сообщениям и звонкам жертвы у злоумышленника нет, поэтому он снова и снова будет вводить неверные цифры, пока WhatsApp не заблокирует возможность сброса кода на двенадцать часов.

Затем злоумышленник отправит запрос в службу поддержки мессенджера с просьбой заблокировать аккаунт из-за потери телефона, указав при этом номер жертвы.
Примерно через час WhatsApp перестает работать на телефоне и жертва видит тревожное уведомление: «Ваш номер телефона больше не зарегистрирован в WhatsApp на этом телефоне». У пользователя будет шанс восстановить доступ к аккаунту, если злоумышленник не запустит схему с введением неверных кодов вновь (если он повторит это два раза, аккаунт в итоге заблокируют навсегда).

Доффман отмечает, что финансовой выгоды такая схема злоумышленнику принести не может, но «есть множество причин, по которым может быть выгодно заблокировать кого-то в мессенджере».
«Эта уязвимость может затронуть миллионы пользователей. Когда так много людей полагаются на WhatsApp как на основной инструмент общения с близкими и по работе, тревожно, насколько легко это может произойти», - отмечает Джейк Мур из ESET.

Как писал «Рамблер», ранее мошенники научились крась аккаунты пользователей WhatsApp, запрашивая код подтверждения из смс от имени администраторов сервиса.
Когда пользователь меняет свой телефон или переустанавливает приложение, WhatsApp необходимо убедиться, что новое устройство связано с его номером телефона. Это делается с помощью отправки контрольного смс с шестизначным кодом.

Как только пользователь введет правильный код, идентификация будет считаться пройденной и все сообщения WhatsApp начнут поступать на это устройство.
Злоумышленники начали подделывать сообщения от имени WhatsApp, запрашивая у пользователей эти коды: мошеннические сообщения приходят от аккаунта, на аварке которого стоит логотип WhatsApp. Об этом сообщает "Рамблер".
Tags: интернет
Subscribe

Posts from This Journal “интернет” Tag

  • В чём не прав Путин

    Путин много что сделал хорошего (или плохого, как считают другие). Но вот лично я не понимаю, почему он до сих пор НЕ СДЕЛАЛ, то что делается легко…

  • Гори в аду

    Взял и отформатировал(!) карту на которой были нужные фото. Не фото телок с сиськами, а из архива "серого министерства", где фоткать было…

  • Как жить дальше, все пропало

    Google уже несколько лет как не изменял PR, но было приятно видеть у себя 6. И вот он сцуко обнулил у всех показатели.

  • Друзья мои. Я за вас пойду на крытку

    Внезапно выяснилось, что вы, мои друзья, не Богом данные мне подарки, а некие таинственные гандоны из-за которых меня могут посадить в тюрьму.…

  • Враги меня забанили по IP

    Захожу с утра в ЖЖ и опа! Нежданчик. Таинственная служба Livejournal забанила мой IP адрес. Поискал информацию в интернете. Одни лишь слезы, боль…

  • ТИЦ или Социальный капитал?

    ТИЦ это "рейтинг" Яндекса, так сказать, всех сайтов мира. Социальный капитал это рейтинг внутри одного сайта. Спорил сегодня с чудаком с…

  • Бонусы и скидки

    Пришло письмо: "Вот и наступили майские праздники. На игровых комплексах поднялся онлайн, а на сайтах веб-мастеров увеличился трафик. В…

  • Сергей Доля

    Иногда поведение людей в интернете вызывает непонимание. Сергей Доля заболел. Выложил свое фото в больнице. И 900 человек поставили лайки. Мол им…

  • Что лучше, Блогун или Ротапост

    Многие спрашивают, а что лучше, Блогун или Ротапост? Где больше заработок7 Где легче работать? Ответ. Все везде одинаково. Но. При…

promo ervol june 7, 2014 09:56 1
Buy for 10 tokens
Алкоголь из Дьюти Фри с доставкой - Duty Free Spb.
  • Post a new comment

    Error

    default userpic
    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 9 comments