Středa 18. května 2022, svátek má Nataša
  • schránka
  • Přihlásit Můj účet
  • Středa 18. května 2022 Nataša

Prakticky kdokoli může zablokovat váš WhatsApp účet. Stačí opravdu málo

  6:03
Oblíbená chatovací aplikace WhatsApp obsahuje zásadní bezpečnostní slabinu. Kvůli ní může prakticky kdokoli zablokovat cizí účet jen na základě znalosti telefonního čísla oběti.

Zabezpečení WhatsAppu obsahuje zásadní slabinu. Ilustrační snímek | foto: AP

O bezpečnostní slabině, kvůli níž může prakticky kterýkoli z uživatelů WhatsAppu přijít o přístup ke svému účtu, informoval portál Forbes. Nepomůže ani dvoufázové ověření, naopak právě to zásadním způsobem přispěje k nemožnosti používat nadále svůj účet.

Na znepokojující bezpečnostní slabinu oblíbené chatovací aplikace ve vlastnictvím Facebooku upozornili španělští vědci Luis Márquez Carpintero a Ernesto Canales Pereña. Útočníkovi podle jejich zjištění postačí znát jen telefonní číslo oběti.

To zadá při aktivaci WhatsAppu na novém zařízení, nicméně díky dvoufázovému ověřovacímu systému, který odešle SMS na číslo oběti, se k účtu nedokáže přihlásit. O to mu ovšem ani nejde. Pravý uživatel účtu tak získá pocit, že dvoufázové zabezpečení WhatsAppu funguje tak, jak očekává. Jenže útočník v pokusech o přihlášení se k účtu oběti pokračuje. A to záměrně.

Po několika neúspěšných pokusech totiž z bezpečnostních důvodů dojde k automatickému zablokování přihlášení, respektive k přerušení zasílání ověřovacích SMS na 12 hodin. A právě na tuto fázi útočník čeká. Následně prakticky z jakékoliv e-mailové adresy zkontaktuje podporu WhatsAppu s tvrzením, že telefon spojený s daným telefonním číslem ztratil, či mu byl odcizen. A zažádá o deaktivaci účtu.

Nemožné? Nikoliv, WhatsApp sice podle Forbesu tento požadavek ověří automatickou e-mailovou odpovědí s požadavkem opětovného uvedení čísla, ta je přitom jen dalším krokem, který nahrává útočníkovi. Podpora totiž nemá jakoukoli možnost ověřit, zda ten, kdo žádá o zablokování účtu, je jeho skutečným uživatelem. Neexistují žádné další ověřovací otázky, které by potvrdily vlastnictví daného telefonního čísla. A tak automatický proces bez vědomí oběti účet deaktivuje.

Chatovací aplikace v telefonu vlastníka čísla přestane fungovat zhruba o hodinu později. Zobrazí se upozornění, že telefonní číslo již není u WhatsAppu na daném telefonu registrováno s tím, že mohlo dojít k registraci na jiném zařízení. V opačném případě má uživatel své číslo ověřit a přihlásit se zpět ke svému účtu. Jenže vzhledem k předchozímu zablokování přihlašování útočníkem nedorazí potřebná ověřovací SMS.

Opakovanou snahou o falešné přihlášení k účtu navíc může útočník de facto jakékoli budoucí přihlášení vlastníkem telefonního čísla zcela znemožnit. Stačí mu k tomu pouhé dva dvanáctihodinové cykly, následně aplikace v telefonu upozorní, že pokusů o přihlášení bylo už příliš s informací „zkuste to znovu po -1 sekundě“. V tu chvíli se již útočník nemůže ani pokusit o další přihlášení. Jenže ani skutečný vlastník čísla.

To představuje poměrně zásadní riziko pro dvě miliardy uživatelů WhatsAppu (více viz WhatsApp je obrovský, používají ho dvě miliardy lidí). Útočník se sice nedostane k obsahu jejich komunikace, jenže to ani není cílem jeho počínání. Mnohem znepokojivější je zjištění, že WhatsApp po žádosti portálu Androidpolice o vyjádření se k tomuto problému ani nenaznačil, že by bezpečnostní slabinu hodlal jakkoli řešit.

Zástupce společnosti pouze podotkl, že by si uživatelé WhatsAppu měli do informací ke svým účtům přidat i e-mailovou adresu, na kterou by je bylo možné v podobných případech kontaktovat. Společnost nicméně zdůraznila, že zneužití této bezpečnostní slabiny je v rozporu s podmínkami služby. Z její strany jde však prakticky o prostý alibismus, zmiňovaný útok je totiž zcela anonymní: lze jej uskutečnit z jakéhokoli mobilního zařízení a prostřednictvím jednorázového e-mailu. Vyvodit tak vůči útočníkovi důsledky plynoucí z porušení podmínek je nemožné.

Autor:
  • Nejčtenější

Úplný konec placených aplikací v Rusku. Nejdou stáhnout ani aktualizovat

Od konce minulého týdne si už uživatelé zařízení s Androidem v Rusku kvůli sankcím nestáhnou žádnou placenou aplikaci....

Malware Flubot útočí na česká čísla. V SMS láká ke stažení hlasové zprávy

Tuzemští uživatelé androidích smartphonů jsou v posledních dnech prostřednictvím SMS a MMS informováni o příchozí...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Takto dělají smartphone Japonci. Má obří snímač a displej snů

Kdysi to bylo království spotřební elektroniky. V mobilech však už Japonsko vyloženě první ligu nehrálo a dnes se...

Čínští výrobci mobilů potichu opouštějí Rusko. Mobily tam však nedojdou

Evropské a americké embargo na Rusko dopadá i na spotřební elektroniku. Přestože v případě mobilů a jiné elektroniky se...

Tak levný mobil s ohebným displejem nikdy nebyl. Samsung přidává i bonus

Skládací Samsung Z Flip 3 v redakci testujeme několik měsíců. Koncept telefonu je skvělý, i když to samozřejmě nemusí...

Všechno vymyslela Škrlová. Je to hlava manipulace, říká režisér Síbrt

Premium Před patnácti lety Česko šokovala kuřimská kauza. Týrání malých chlapců nejbližšími příbuznými i podivná role „Aničky“....

Češi řeší, čím topit. Proč bychom se neměli zbavovat plynového kotle?

Premium Plynu pro domácnosti by mělo být dosti při přerušení dodávek z Ruska. Nedostatkový plyn sice zdražuje, ale rychlý...

I vysokoškolák může být blbý, říká obávaný lovec z Novy Doktor Vševěd

Premium Na úspěchu televizní soutěže Na lovu má Jiří Martínek velký podíl. Diváci žasnou nad jeho znalostmi. On žasne taky –...

  • Další z rubriky

Jak poznat dobrou koupi ve střední třídě? Nebojte se starších modelů

Premium Výrobci smartphonů se v poslední době snaží zakrýt každou cenovou skulinku ve střední třídě novými modely, a to klidně...

Tyto smartphony mají skvělé parametry displeje. Ani nemusí stát majlant

Kromě řady let běžně uváděných parametrů smartphonových displejů se v poslední době začal zmiňovat ještě další. A sice...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Někdo vás sleduje, hlásí iPhony. Někdy však jde o znepokojivou chybu

Apple se aktuálně potýká s poněkud podivným problémem. Nedávno spustil funkci, která má zabránit sledování lidi pomocí...

Malware Flubot útočí na česká čísla. V SMS láká ke stažení hlasové zprávy

Tuzemští uživatelé androidích smartphonů jsou v posledních dnech prostřednictvím SMS a MMS informováni o příchozí...

Vláda má 20 korun z každého litru benzinu, říká šéf sítě levných čerpacích stanic

Premium Nikoho nenechají na pochybách, že tohle je nízkonákladová firma, kde se nehýří. Okázalost tu nemá místo. Spolumajitel...

Bez nebezpečných injekcí do penisu si dnes nic nevyděláte, říká pornoherec

V posledních letech se ve videích pro dospělé objevuje další nerealistický prvek – hodiny trvající erekce. Pornoherec a...

Jelínek z Luneticu byl u smrtelné nehody, po koncertě srazil na dálnici muže

V sobotu vystoupili Lunetic na koncertě Leoše Mareše. Když se zpěvák skupiny Václav Jelínek (43) vracel domů do...

Eurovizi vyhráli Ukrajinci s písní pro matky, čeští We Are Domi nezaujali

Na šedesátém šestém ročníku mezinárodní pěvecké soutěže Eurovize, který se letos konal v italském Turíně, zvítězil...

Nešvar z devadesátých let se vrací. Turisté na místě zjišťují, že bydlí jinde

Premium Nešvar z devadesátých let se vrací. Turisté si zaplatí zájezd v zahraničí, přijedou do hotelu a teprve na jeho recepci...