WhatsApp je s přibližně dvěma miliardami uživatelů po celém světě nejoblíbenější komunikační platformou. Při takovém počtu uživatelů lze také předpokládat, že účty uživatelů budou dobře zabezpečené a případné útoky na jejich uživatele obtížné. O to překvapivější je zpráva bezpečnostních expertů, kterou podrobně popsal ve svém článku s názvem "Sudden New Warning Will Surprise Millions Of WhatsApp Users" magazín Forbes.
Podle popsaného postupu je možné, aby zneužitím různých mechanizmů messengeru útočníci zablokovali účty prostřednictvím přístupů třetích stran pouze pomocí čísla mobilního telefonu uživatele a zabránili mu v nové registraci. WhatsApp obvykle nevyužívá lidské zdroje k odpovídání na dotazy uživatelů, ale spoléhá se na strojové učení a automaty. To platí například i pro e-maily, kterými uživatelé nahlašují ukradený účet. A právě to se může stát velkým rizikem.
Kdokoli může nainstalovat aplikaci WhatsApp do telefonu a zadat vaše číslo na ověřovací obrazovce. Poté budete dostávat zprávy a hovory ze služby WhatsApp se šestimístným ověřovacím kódem. Zobrazí se také oznámení aplikace WhatsApp, které vás informuje o tom, že byl vyžádán kód a varuje vás, abyste jej nesdělovali.
Útočník to může dělat s vaším telefonním číslem WhatsApp, zatímco vy budete aplikaci normálně používat. Opakovaně si vyžádá kódy a do aplikace zadá nesprávná čísla. Vy budete dostávat kódy SMS, možná i hovory, ale nemůžete s nimi nic dělat, protože kódy není kam zadat.
Problém je v tom, že automatický proces ověřování WhatsAppu omezuje počet kódů, které lze odeslat. Po několika pokusech se útočníkovi v aplikaci WhatsApp zobrazí zpráva: "Znovu mi pošlete SMS/zavolejte za 12 hodin", a tak nelze generovat žádné nové kódy. Aplikace WhatsApp také po určitém počtu pokusů blokuje zadávání kódů i v aplikaci a útočníkovi sděluje: "Příliš mnoho chybných pokusů... zkuste to znovu za 12 hodin". Aplikace v telefonu uživatele nadále funguje, ale je blokované odesílání ověřovacích kódů. Doposud to nemusí být problém, pokud neprovedete deaktivaci aplikace ne svém telefonu a nebudete potřebovat aktivační kód při opětovné instalaci.
WhatsApp: druhý krok ještě zvyšuje nebezpečí podvodného útoku
Ověřovací maska útočníkům umožňuje zablokovat uživatelské účty v několika málo krocích. | Zdroj: iphonedigital/Foter
V druhém kroku si útočník může zaregistrovat účet na jakékoliv freemailové službě a pošle na [email protected] žádost o deaktivaci účtu z důvodu ztráty/odcizení účtu. K tomu přiloží vaše číslo. WhatsApp pošle automatickou odpověď s požadavkem na opětovné zadání čísla a útočník ho zopakuje.
WhatsApp nyní obdržel e-mail s odkazem na vaše číslo. Nepoužívá žádné další otázky, kterými by si ověřil, že jde skutečně o e-mail od vás. Bez vašeho vědomí tak byl spuštěn automatický proces a váš účet bude nyní deaktivován. Asi hodinu poté přestane WhatsApp v telefonu fungovat a objeví se oznámení, které informuje, že "...vaše telefonní číslo už není v aplikaci WhatsApp pro tento telefon aktivní." Deaktivovaný účet vás požádá o zadání kódu pro vaše číslo, to provedete, ale žádná zpráva nepřijde. Nyní je váš účet zablokován na 12 hodin podobně, jako v případě útočníka. Pořád ale jde po uplynutí intervalu účet obnovit. Kritické to je v případě spuštění třetího cyklu, který může vést k definitivní blokaci účtu.
Je zřejmé, že kombinace systému blokace, která je prováděna automaticky a založena na strojovém rozpoznávání klíčových slov, může vést k podobným formám zneužití, které nejsou nijak sofistikované. WhatsApp by to měl urychleně řešit. Tento problém vzniká z toho důvodu, že zabezpečené posílání zpráv je spojeno s telefonním číslem, nikoliv OS nebo identifikátorem zařízení.
Naštěstí útočníci nemohou tento podvodný postup zneužít k přístupu k citlivým údajům uživatelů, rozesílání nevyžádaných e-mailů a podobným aktivitám. Blokování účtů ale může být pro mnoho uživatelů velmi nepříjemné, protože zvlášť v průběhu koronavirových omezením je WhatsApp pro hodně z nich důležitým komunikačním nástrojem.