Исследователи кибербезопасности Луис Маркес Карпинтеро и Эрнесто Каналес Перенья обнаружили уязвимость, позволяющую злоумышленникам заблокировать учетную запись в WhatsApp, если у них есть номер телефона жертвы.
Схема следующая. Злоумышленник запрашивает код для входа в аккаунт и специально вводит неправильный. После нескольких попыток учетная запись будет заблокирована на 12 часов. После этого он регистрирует новый адрес электронной почты и отправляет письмо в службу поддержки мессенджера с просьбой деактивировать номер из-за утери или кражи учетной записи. WhatsApp не проверит подлинность запроса и автоматически отключит номер.
Пользователь может активировать учетную запись снова после 12-часовой заморозки. Тем не менее, злоумышленник еще может заблокировать аккаунт навсегда, повторив вышеперечисленные действия еще дважды.
По данным Forbes, WhatsApp не стремится решить проблему. Мессенджер этого порекомендовал пользователям включить двухфакторную аутентификацию и привязать адрес электронной почты, чтобы представители службы поддержки знали, с какого адреса вы можете написать.
WhatsApp считает, что вероятность того, что злоумышленники воспользуются уязвимостью, крайне мала. Хакеры стремятся получить доступ к аккаунту и его содержимому, а не заблокировать его.