» »

Ranljivost v WhatsApp zlikovcem omogoča zaklep profila žrtev

Ranljivost v WhatsApp zlikovcem omogoča zaklep profila žrtev

Forbes - Čeprav sodi med najpopularnejše aplikacije za hipno sporočanje, WhatsApp tehnološko ni nič kaj pred konkurenco. Dvostopenjsko preverjanje pristnosti (2FA) sploh ni obvezno in ga veliko uporabnikov ne uporablja, a pred najnovejšim napadom sploh ne ščiti. V Forbesu poročajo o načinu, kako nas lahko zlikovci zaklenejo iz lastnega profila. Pri tem ne gre za klasičen vdor, temveč za zlorabo slabo izpeljanih mehanizmov.

Vsakdo lahko namreč namesti aplikacijo WhatsApp na svoj telefon in vnese poljubno telefonsko številko, s katero ga želi povezati - četudi nima dostopa do te številke. WhatsApp potem pošlje na to številko SMS s kodo, ki je potrebna za aktivacijo na novi napravi. To kodo seveda prejme legitimni lastnik, ki z njo nima kaj početi, lahko jo le ignorira. Toda če zlikovec kodo zahteva in vpiše dovoljkrat, bo povzročil 12-urni zaklep sistema za vnos kode, ki je namenjen zaščiti pred ugibanjem. To še ni problem.

Problematičen pa je drugi del napada. Če zlikovec potem pošlje WhatsAppovi podpori elektronsko sporočilo, da je izgubil telefon in da želi blokado aplikacije na telefonski številki žrtve, bo WhatsApp to storil brez vprašanj. Gre za avtomatiziran postopek, ki avtomatično zaklene profil. Za ponovno aktivacijo je treba vnesti kodo, ki jo pošlje prek SMS - a ker je zaklenjen, bo treba najprej počakati 12 ur. Zlikovec lahko napad stopnjuje in po treh 12-urnih zaklepih se WhatsApp zaklene za -1 sekundo, kar v praksi pomeni, da se ne bo sam odklenil. Legitimni uporabnik bo moral kontaktirati podporo in prositi za pomoč.

Pred tem napadom se praktično ni moč zaščititi. Vse telefonske številke so tudi javne, saj je moč za vsako preveriti, ali je z njo povezan profil WhatsApp ali ne. Rešitev lahko ponudi le WhatsApp, tako da pri ponovni registraciji zahteva vnos dodatnega gesla (ki ga v 2FA lahko nastavimo) ali pa s konceptom zaupanja vredne naprave (trusted device), kar konkurenca že ima.

19 komentarjev

Apple ::

Dobr QA so mel...
LP, Apple

Phantomeye ::

Nekaj podobnega sem bral o neki deklici, ki je trdila, da ji Zoom račun ne dela. Tudi ko so starši poskusili vpisati geslo, je zoom javljal, da je napačno. Ko so klicali na support so jim na supportu rekli, da ne vidijo, kaj bi bilo lahko narobe - so pa v sistemu opazili veliko število poskusov prijave. Za kar so so starši odgovorili, da so to verjetno njihovi poskusi.

Na koncu se je izkazalo, da je tamala namenoma zaspamala Zoom login z napačnimi gesli. Zoom pa je račun začasno zaklenil. Ampak namesto, da bi uporabniku javil, da je račun zaklenjen, mu je javil, da je geslo napačno.

MrStein ::

Toda če zlikovec kodo zahteva in vpiše dovoljkrat,

Kako lahko vpiše, če jo ne dobi?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Messiah ::

Vpiše lahko nekaj na pamet, saj ni cilj vdreti ampak zaklenit račun.

Zgodovina sprememb…

  • spremenilo: Messiah ()

WhiteAngel ::

Vezava teh chat aplikacij na telefonsko številko je debilno. Isto Signal. Ampak ker so marketingarji z delničarji in super duper UX hoteli svoj kos, je tako, kot je. Zdaj naj ga pa žrejo. No, pa saj ni veliko drugače z bankami in 2fa. Ne vem, kaj vsi onanirajo na te sms-e in telefonske številke. Mail, OTP in čao miki :| Pa naj folk uporablja telefone, kalkulatorje, bunkerje pod zemljo ali pa svinčnik in veliko papirja za OTP zarad mene.

DexterBoy ::

Meni osebno je že selitev miljaužnt opravil na telefon strel v levo koleno. Dvakrat. Res mi ni jasno koliko milijonov imajo ljudje na računu, da morajo VEČKRAT dnevno preverjati stanje TRR-ja na svojem telefonu. Pa Linus hoče voice komand odpirati pa zapirati vrata... Pa frend mi je kazal aplikacijo za seštevanje kalorij na telefonu. Ko sem ga vprašal če en dan ne bi nič jedel, me je debelo gledal... še mnogo drugega. Zmeniš se, kje se dobimo in basta.
Skratka, preveč postajamo (ali pa smo že čez) odvisni od 6-palčnega displeya. Ko gledam folk po cesti, so mi vse "teorije zarote" o čipih pod kožo popolnoma sprejemljive... :'(
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

Prospekt ::

WhiteAngel je izjavil:

Vezava teh chat aplikacij na telefonsko številko je debilno. Isto Signal. Ampak ker so marketingarji z delničarji in super duper UX hoteli svoj kos, je tako, kot je. Zdaj naj ga pa žrejo. No, pa saj ni veliko drugače z bankami in 2fa. Ne vem, kaj vsi onanirajo na te sms-e in telefonske številke. Mail, OTP in čao miki :| Pa naj folk uporablja telefone, kalkulatorje, bunkerje pod zemljo ali pa svinčnik in veliko papirja za OTP zarad mene.

Pa joj no sms in email je tako grozno zaostala stvar...Najbolje, da gremo kr nazaj na fakse.

D3m ::

En tak "Whats up doc" za dobro jutro. xD
|HP ProBook|R5 3500U|

Phantomeye ::

DexterBoy je izjavil:

Meni osebno je že selitev miljaužnt opravil na telefon strel v levo koleno. Dvakrat. Res mi ni jasno koliko milijonov imajo ljudje na računu, da morajo VEČKRAT dnevno preverjati stanje TRR-ja na svojem telefonu. Pa Linus hoče voice komand odpirati pa zapirati vrata... Pa frend mi je kazal aplikacijo za seštevanje kalorij na telefonu. Ko sem ga vprašal če en dan ne bi nič jedel, me je debelo gledal... še mnogo drugega. Zmeniš se, kje se dobimo in basta.
Skratka, preveč postajamo (ali pa smo že čez) odvisni od 6-palčnega displeya. Ko gledam folk po cesti, so mi vse "teorije zarote" o čipih pod kožo popolnoma sprejemljive... :'(


Toliko stvari bi lahko pokritiziral glede pametnih telefonov, ampak si se odločil kritizirat najbolj uporabne ...

Od kar imamo telefone oz. specifično pametne telefone ne rabimo:

- budilke, blokcev, imenika, ne rabimo čakati v vrsti, da bi plačali položnice, kalkulatorja, fotoaparata itd. Lahko komuniciramo z ljudmi, brez da bi ji bilo treba poklicat (v določenih primerih klic ni primeren - npr. se želiš dogovorit z nekom za prevoz, medtem ko čaka na zdravnika v čakalnici itd.

bbbbbb2015 ::

WhiteAngel je izjavil:

Vezava teh chat aplikacij na telefonsko številko je debilno. Isto Signal. Ampak ker so marketingarji z delničarji in super duper UX hoteli svoj kos, je tako, kot je. Zdaj naj ga pa žrejo. No, pa saj ni veliko drugače z bankami in 2fa. Ne vem, kaj vsi onanirajo na te sms-e in telefonske številke. Mail, OTP in čao miki :| Pa naj folk uporablja telefone, kalkulatorje, bunkerje pod zemljo ali pa svinčnik in veliko papirja za OTP zarad mene.


Verjetno se zavedaš, da če ne bi bilo preverjanja identitete, vezane v bistvu na SIM kartico, potem bi šele izbruhnil kaos.

Ti (oz. povprečen Evropejec) ima samo eno par enoličnih identifikatorjev (tajnih ključev v smart kartici).
Telefonska SIM kartica
Osebna izkaznica (samo SMART kartice, s ključi - Belgija, Estonija)
Zdravstvena kartica (ne vem, če ima slovenska tajni ključ noter)
Bančne kartice (vse!)
Nekateri imajo še poslovne kartice, za vstop v stavbo, večinoma RFID, malokatera SMART

Od vseh teh kartic je edino dostopna dejansko SIM kartica, preko SMS sporočil. Ostale so vse custom made in ne tako univerzalno dostopne.

Zgodovina sprememb…

starfotr ::

Jaz se strinjam z Dexterjem. Mobilna banka na telefonu je fail. Za take zadeve imaš računalnik.

Slikanje QR kod je neumnost za plačilo UPN. Za to imamo eračune. Kjer je dovolj 1 klik. Vendar ker smo neumni se še vedno ukvarjamo s tiskanimi računi.

Ostalo, kar si naštel si pa lahko delal že skoraj z navadnim GSM aparatom.

Plačilo položnice - klic na banko (nlb je imel teledom) ali povezava direktno na banko - z nokio.
kalkulator - imela ga je vsaka nokia.
foto - isto
Komunikacija za ljudmi brez klica - sms, mms.

salesky ::

starfotr je izjavil:

Jaz se strinjam z Dexterjem. Mobilna banka na telefonu je fail. Za take zadeve imaš računalnik.

Slikanje QR kod je neumnost za plačilo UPN. Za to imamo eračune. Kjer je dovolj 1 klik. Vendar ker smo neumni se še vedno ukvarjamo s tiskanimi računi.

Ostalo, kar si naštel si pa lahko delal že skoraj z navadnim GSM aparatom.

Plačilo položnice - klic na banko (nlb je imel teledom) ali povezava direktno na banko - z nokio.
kalkulator - imela ga je vsaka nokia.
foto - isto
Komunikacija za ljudmi brez klica - sms, mms.


A to moraš bit dovolj star, da začneš tako razmišljat? #sprašujemzaprijatla

fikus_ ::

"Slikanje QR kod je neumnost za plačilo UPN. " To je ena boljših zadev "mobilne" banke.

Phantomeye ::

starfotr je izjavil:

Jaz se strinjam z Dexterjem. Mobilna banka na telefonu je fail. Za take zadeve imaš računalnik.

Slikanje QR kod je neumnost za plačilo UPN. Za to imamo eračune. Kjer je dovolj 1 klik. Vendar ker smo neumni se še vedno ukvarjamo s tiskanimi računi.

Ostalo, kar si naštel si pa lahko delal že skoraj z navadnim GSM aparatom.

Plačilo položnice - klic na banko (nlb je imel teledom) ali povezava direktno na banko - z nokio.
kalkulator - imela ga je vsaka nokia.
foto - isto
Komunikacija za ljudmi brez klica - sms, mms.




"Zato imamo e-račune" == "moja tehnološka rešitev je superior ker jo JST uporabljam, tvoja je fail, ker je JST ne uporabljam".

Glupo razmišljanje.

Včasih dobiš kakšno položnico v papirju, ki ni mesečna, ampak je za kako storitev. In verjemi meni, da prej poskeniram 20 položnic in jih plačam, preden ti z eračunom plačaš dve.

Kul, da se strinjaš z mano glede telefonov, da imajo stvari kot so komunikacija brez klica, budilka, sms itd. Saj sem jaz govoril o vseh mobilnih telefonih.

Aja, pa vseeno o katerih nokijah ti govoriš, specifično?

Ker prva nokia, ki je imela digitalno kamero je bila Nokia 7650.

Veš kaj je ta nokia tudi imela? Symbian OS. Veš kaj to pomeni? Da je bila faking pametni telefon.

In ti se tle hvališ, kako je imel 20 let star smartphone vse to, kar naj bi bila kritika česa? Modernejših pametnih telefonov? Jao :D

Kot da bi se vozniku novega avta hvalil, da je fičo tudi imel volan in kolesa :D.

Zakaj bi se vozil z novim avtom, če si se pa lahko 20 let nazaj vozil s fičom :D

Gagatronix ::

Tudi meni se zdi obesanje vsega mogocega na pametni telefon tumpasto, ampak to je moje osebno mnenje. Sem pa istocasno ziher, da marsikomu pride prav.

MrStein ::

starfotr je izjavil:

Jaz se strinjam z Dexterjem. Mobilna banka na telefonu je fail. Za take zadeve imaš računalnik.

Plačilo položnice - klic na banko (nlb je imel teledom) ali povezava direktno na banko - z nokio.

Kaj zdaj? Je banka na telefonu pravilna in zveličavna, ali zanič in obsojanja vredna?

Jaz 80% bančnih zadev uredim na telefonu, ostalo pa na PC. Ali manj.
Če tebi to ne paše, pa počni po svoje. Saj eni se še s konji prevažajo. Kar naj, meni je res vseeno. (dokler mi ne začnejo pametovati, kako bi se jaz MORAL prevažati...)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Phantomeye ::

Gagatronix je izjavil:

Tudi meni se zdi obesanje vsega mogocega na pametni telefon tumpasto, ampak to je moje osebno mnenje. Sem pa istocasno ziher, da marsikomu pride prav.


Mogoče je problem v definiciji. Pametni telefon precej vague definicija. Gre za žepni računalnik, ki ima tudi funkcijo klicanja.

In če imamo appe na PC-jih (za klice skype), zakaj je čudno, da so appi tudi na žepnih računalnikih. ful je praktično, kar se mene tiče.

Tene ::

Sedaj bodo šli vsi nazaj na Viber namesto na Signal :)

AštiriL ::

> Slikanje QR kod je neumnost za plačilo UPN.

Ne, ni.

> Pred tem napadom se praktično ni moč zaščititi.

V nastavitvah je gumb *izbriši aplikacijo whatsup*
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Anonimizacija mobilnih komunikacij (strani: 1 2 )

Oddelek: Problemi človeštva
9216303 (13975) SmeskoSnezak
»

Tudi Viber dobil šifriranje pogovorov (strani: 1 2 )

Oddelek: Novice / Zasebnost
7018775 (13532) matijadmin
»

WhatsApp bo delil uporabniške podatke s Facebookom in pripeljal oglaševalce

Oddelek: Novice / Zasebnost
279482 (6866) slitkx
»

WhatsApp bo povsem brezplačen

Oddelek: Novice / Ostale najave
299942 (7927) smihael
»

WhatsApp prihaja na osebne računalnike, a kot polizdelek

Oddelek: Novice / Android
86300 (4673) crystal

Več podobnih tem