Ranljivost v WhatsApp zlikovcem omogoča zaklep profila žrtev
Matej Huš
11. apr 2021 ob 21:19:25
Čeprav sodi med najpopularnejše aplikacije za hipno sporočanje, WhatsApp tehnološko ni nič kaj pred konkurenco. Dvostopenjsko preverjanje pristnosti (2FA) sploh ni obvezno in ga veliko uporabnikov ne uporablja, a pred najnovejšim napadom sploh ne ščiti. V Forbesu poročajo o načinu, kako nas lahko zlikovci zaklenejo iz lastnega profila. Pri tem ne gre za klasičen vdor, temveč za zlorabo slabo izpeljanih mehanizmov.
Vsakdo lahko namreč namesti aplikacijo WhatsApp na svoj telefon in vnese poljubno telefonsko številko, s katero ga želi povezati - četudi nima dostopa do te številke. WhatsApp potem pošlje na to številko SMS s kodo, ki je potrebna za aktivacijo na novi napravi. To kodo seveda prejme legitimni lastnik, ki z njo nima kaj početi, lahko jo le ignorira. Toda če zlikovec kodo zahteva in vpiše dovoljkrat, bo povzročil 12-urni zaklep sistema za vnos kode, ki je namenjen zaščiti pred ugibanjem. To še ni problem.
Problematičen pa je drugi del napada. Če zlikovec potem pošlje WhatsAppovi podpori elektronsko sporočilo, da je izgubil telefon in da želi blokado aplikacije na telefonski številki žrtve, bo WhatsApp to storil brez vprašanj. Gre za avtomatiziran postopek, ki avtomatično zaklene profil. Za ponovno aktivacijo je treba vnesti kodo, ki jo pošlje prek SMS - a ker je zaklenjen, bo treba najprej počakati 12 ur. Zlikovec lahko napad stopnjuje in po treh 12-urnih zaklepih se WhatsApp zaklene za -1 sekundo, kar v praksi pomeni, da se ne bo sam odklenil. Legitimni uporabnik bo moral kontaktirati podporo in prositi za pomoč.
Pred tem napadom se praktično ni moč zaščititi. Vse telefonske številke so tudi javne, saj je moč za vsako preveriti, ali je z njo povezan profil WhatsApp ali ne. Rešitev lahko ponudi le WhatsApp, tako da pri ponovni registraciji zahteva vnos dodatnega gesla (ki ga v 2FA lahko nastavimo) ali pa s konceptom zaupanja vredne naprave (trusted device), kar konkurenca že ima.