- Специальный корреспондент
Найден способ удаленно отключить любой чужой профиль в WhatsApp через обращение в техподдержку. Аккаунт будет заблокирован и удален через 30 дней вместе со всей перепиской, и защититься от этого нельзя. Каждый пользователь WhatsApp в зоне риска. Разработчики, как оказалось, знают о проблеме годами, но не стремятся устранить ее.
WhatsApp, самый популярный мессенджер в мире (более 2 млрд активных пользователей), содержит уязвимость, которая позволяет удаленно деактивировать любой пользовательский профиль. Проблему обнаружил ИБ-эксперт Джейк Мур (Jake Moore), работающий в ушедшей из России компании Eset.
Новую проблему WhatsApp он осветил в своем блоге в Twitter (заблокированная в России американская соцсеть). Мур выложил скриншоты, подтверждающие, что отключить профиль пользователя в WhatsApp может любой, у кого есть привязанный к нему номер телефона. Притом хакером для этого быть не нужно – достаточно лишь попросить о помощи техподдержку мессенджера, и те с радостью заблокируют профиль, даже если об этом их просит совершенно посторонний человек.
По сути, Джейк Мур выявил недокументированную функцию техподдержки WhatsApp. Она действительно принимает запросы на блокировку профилей от их владельцев, если их смартфон или другой гаджет с установленным WhatsApp был утерян или украден. Но Джейк задался вопросом, а что будет, если написать в поддержку с такой просьбой и указать чужой номер. Как оказалось, все работает столь же безупречно – специалисты поддержки выполнят просьбу.
Мур доказал, что в ответ на просьбу об деактивации аккаунта техподдержка не стала запрашивать у него никаких подтверждений личности – он даже писал свое письмо с адреса, который не имел к номеру никакого отношения. Другими словами, поддержка WhatsApp не утруждает себя дополнительным проверками, и у этого есть свои плюсы и минусы.
О минусах в деталях рассказал Джейк Мур, а к плюсам относится возможность быстро заблокировать собственный профиль, если телефон оказался, например, у конкурентов или у силовиков, пишет Forbes. В этом случае быстрая отправка письма в техподдержку мессенджера лишит посторонних доступа к сообщениям.
Мур отметил, что выявленная им уязвимость WhatsApp потенциально может быть использованf для выполнения атаки типа «отказ в обслуживании» (denial of service) против пользователя путем написания скрипта, который непрерывно отправляет электронные письма с просьбой о деактивации.
Наглядное доказательство, предоставленное Муром
Как пишет Forbes, на июль 2023 г. не существовало никакого способа защититься от этой атаки. То же подтвердил изданию и сам Мур: «Злоумышленники могут очень легко деактивировать любой номер WhatsApp, в результате чего эта учетная запись не будет получать никаких сообщений, пока они не откроют свое приложение и не активируют его повторно. Это можно было бы проводить постоянно, и казалось бы, нет никакого способа обойти это в том виде, в каком оно существует сейчас. Это очень тревожно, так как любой адрес электронной почты может деактивировать любой номер WhatsApp одним письмом в службу поддержки WhatsApp».
Что касается возможного смягчения последствий, Мур указывает на двухэтапную авторизацию, но есть одна загвоздка. «Двухэтапная проверка предлагается для всех учетных записей WhatsApp, – сказал Мур. Однако она не включена по умолчанию, что остается проблемой для взломанных учетных записей. Когда двухэтапная проверка включена, требуется адрес электронной почты, поэтому, естественно, это может быть единственный адрес электронной почты, который позволяет использовать метод деактивации».
Новый сюрприз от WhasApp
WhatsApp, самый популярный мессенджер в мире (более 2 млрд активных пользователей), содержит уязвимость, которая позволяет удаленно деактивировать любой пользовательский профиль. Проблему обнаружил ИБ-эксперт Джейк Мур (Jake Moore), работающий в ушедшей из России компании Eset.
Новую проблему WhatsApp он осветил в своем блоге в Twitter (заблокированная в России американская соцсеть). Мур выложил скриншоты, подтверждающие, что отключить профиль пользователя в WhatsApp может любой, у кого есть привязанный к нему номер телефона. Притом хакером для этого быть не нужно – достаточно лишь попросить о помощи техподдержку мессенджера, и те с радостью заблокируют профиль, даже если об этом их просит совершенно посторонний человек.
По сути, Джейк Мур выявил недокументированную функцию техподдержки WhatsApp. Она действительно принимает запросы на блокировку профилей от их владельцев, если их смартфон или другой гаджет с установленным WhatsApp был утерян или украден. Но Джейк задался вопросом, а что будет, если написать в поддержку с такой просьбой и указать чужой номер. Как оказалось, все работает столь же безупречно – специалисты поддержки выполнят просьбу.
Поверить на слово
Мур доказал, что в ответ на просьбу об деактивации аккаунта техподдержка не стала запрашивать у него никаких подтверждений личности – он даже писал свое письмо с адреса, который не имел к номеру никакого отношения. Другими словами, поддержка WhatsApp не утруждает себя дополнительным проверками, и у этого есть свои плюсы и минусы.
О минусах в деталях рассказал Джейк Мур, а к плюсам относится возможность быстро заблокировать собственный профиль, если телефон оказался, например, у конкурентов или у силовиков, пишет Forbes. В этом случае быстрая отправка письма в техподдержку мессенджера лишит посторонних доступа к сообщениям.
Защиты нет
Мур отметил, что выявленная им уязвимость WhatsApp потенциально может быть использованf для выполнения атаки типа «отказ в обслуживании» (denial of service) против пользователя путем написания скрипта, который непрерывно отправляет электронные письма с просьбой о деактивации.
Наглядное доказательство, предоставленное Муром
Как пишет Forbes, на июль 2023 г. не существовало никакого способа защититься от этой атаки. То же подтвердил изданию и сам Мур: «Злоумышленники могут очень легко деактивировать любой номер WhatsApp, в результате чего эта учетная запись не будет получать никаких сообщений, пока они не откроют свое приложение и не активируют его повторно. Это можно было бы проводить постоянно, и казалось бы, нет никакого способа обойти это в том виде, в каком оно существует сейчас. Это очень тревожно, так как любой адрес электронной почты может деактивировать любой номер WhatsApp одним письмом в службу поддержки WhatsApp».
Что касается возможного смягчения последствий, Мур указывает на двухэтапную авторизацию, но есть одна загвоздка. «Двухэтапная проверка предлагается для всех учетных записей WhatsApp, – сказал Мур. Однако она не включена по умолчанию, что остается проблемой для взломанных учетных записей. Когда двухэтапная проверка включена, требуется адрес электронной почты, поэтому, естественно, это может быть единственный адрес электронной почты, который позволяет использовать метод деактивации».
