S postupným rozvojem služeb se s takovými zranitelnostmi setkáváme stále méně. O to více překvapil nedávno odhalený problém ve WhatsApp. Kdokoliv mohl na dálku deaktivovat váš účet.
Pro výjimečné případy komunikátor nabízí možnost deaktivovat účty vzdáleně. Cílem je zabránit zneužití v situacích, kdy ke službě WhatsApp uživatelé ztratí přístup. To jsou případy ztráty zařízení, nebo jeho odcizení. Dokumentace podpory WhatsAppu jasně uvádí, že stačí zaslat e-mail, obsahující větu: "Ztráta/krádež telefonu: Deaktivujte prosím můj účet" a přidat telefonní číslo v plném mezinárodním formátu. Podvodníci jsou ovšem vynalézaví, takže přišli na způsob, jak to lze zneužít pro blokaci cizích účtů.
WhatsApp: telefonní číslo stačilo k tomu, aby byly smazány účty ostatních uživatelů
WhatsApp to myslel dobře. Kyberzločinci už nikoliv. Meta podivnou zranitelnost WhatsAppu naštěstí uzavřela. | Zdroj: WhatsApp/Nápověda
Deaktivační proces je ve službě WhatsApp plně automatizovaný a nekontroluje, zda je odesílatel e-mailu skutečně vlastníkem účtu, který má být deaktivován. V takovém případě si lze snadno představit, jak osoba, která zná vaše telefonní číslo, vytvoří dočasnou e-mailovou adresu a požádá o deaktivaci vašeho účtu bez vašeho vědomí.
Profesionální kyberzločinci by mohli jít ještě o krok dál a zneužít tento systém ve velkém měřítku. Pomocí automatizovaných skriptů by se mohli pokusit vypnout účty WhatsApp v velkém rozsahu. Opakovanými útoky typu DOS (kolaps služby zahlcením požadavky) by také mohli nevinné oběti vydírat, aby za opětovný přístup ke svému účtu zaplatily. Mohli by také krást kontaktní informace a zaměřit se na další osoby nebo jednoduše smazat konverzace, které nelze obnovit bez aktuální zálohy aplikace WhatsApp.
Meta zareagovala a okamžité mazání účtů zablokovala
| Zdroj: Twitter/Jake Moore (@JakeMooreUK)
Provozovatel WhatsAppu, společnost Meta, naštěstí tuto zranitelnost rozpoznala. Pravděpodobně ji k tomu vedl vysoký počet žádostí o deaktivaci. Možnost okamžité deaktivace účtů byla dočasně pozastavena.
Pokud jste se stali obětmi takového útoku, podle dokumentů podpory můžete deaktivovaný účet a všechny nepřečtené zprávy obnovit ve lhůtě do 30 dnů.
Rychlá reakce WhatsAppu je chvályhodná. Zdá se, že v tuto chvíli deaktivovaná funkce byl pozůstatek standardní implementace z doby, kdy WhatsApp začínal.
Konzultant v oblasti kybernetické bezpečnosti, Jake Moore, ve svém tweetu navrhl, aby WhatsApp tento systém znovu aktivoval, ale aby přijímal žádosti pouze z e-mailů, propojených se skutečnými majiteli účtu WhatsApp. Kromě toho by mělo být povinné dvoufaktorové ověřování, a to pro všechny účty WhatsApp, nikoliv volitelně, jak je tomu v současnosti.
Zdroj: Android Police, Twitter
video
