Persoanele rău intenționate pot forța blocarea unui utilizator pe aplicația WhatsApp în cazul în care cunoaște numărul de telefon al presupusei ținte, conform unui articol publicat de News.ro.
O nouă modalitate de atac asupra utilizatorilor aplicației WhatsApp a fost descoperită recent de experți în securitate cibernetică. Astfel, prin intermediul terminalului mobil al victimei, orice persoană poate bloca accesul la respectivul cont. WhatsApp transmite că acest tip de atac este unul banal, prin care se profită de două probleme diferite referitoare la sistemul de autentificare folosit.
Prima problemă face referire la blocarea trimiterii codurilor de confirmare a identității deținătorului de cont. Atacatorul poate încerca să se autentifice cu numărul de telefon al victimei de mai multe ori, iar la fiecare încercare pe numărul de telefon al țintei va fi trimis un cod din șase cifre prin care se confirmă identitatea. După un anumit număr de încercări, aplicația blochează trimiterea codurilor de confirmare pentru o perioadă de 12 ore.
A doua problemă este legată de serviciile de e-mail. Astfel, atacatorul trimite un e-mail către serviciul de suport al WhatsApp și pretinde că nu mai are acces la propriul cont de aplicație, fiindu-i cerut mai apoi numărul de telefon asociat cu respectivul cont. Prin această metodă este declanșat un proces automat de migrare prin care contul este blocat pe telefonul victimei, iar mai apoi activat pe telefonul atacatorului.
Astfel de atacuri pot fi realizate chiar și atunci când este activat sistemul de autentificare în doi pași din cadrul aplicației WhatsApp, însă nu și atunci când utilizatorul are adăugată propria adresă de e-mail. De câteva luni, WhatsApp oferă o nouă metodă de protecție asupra atacurilor, 2FA, prin care activarea unui dispozitiv este condiționată de un cod PIN suplimentar și de o adresă de e-mail proprie, cunoscute doar de către utilizator.
Opțiunea 2FA face posibil procesul de migrare de pe un dispozitiv mobil pe altul doar dacă cererile sunt trimise de pe adresele de e-mail specificate și adăugate în contul de utilizator. O astfel de autentificare de tipul 2FA poate să fie activată din Setări – Cont – Verificare în doi pași, unde se alege un cod PIN format din șase cifre și se adaugă o adresă de e-mail proprie.