O bezpečnostní slabině, kvůli níž může prakticky kterýkoli z uživatelů WhatsAppu přijít o přístup ke svému účtu, informoval portál Forbes. Nepomůže ani dvoufázové ověření, naopak právě to zásadním způsobem přispěje k nemožnosti používat nadále svůj účet.
Na znepokojující bezpečnostní slabinu oblíbené chatovací aplikace ve vlastnictvím Facebooku upozornili španělští vědci Luis Márquez Carpintero a Ernesto Canales Pereña. Útočníkovi podle jejich zjištění postačí znát jen telefonní číslo oběti.
To zadá při aktivaci WhatsAppu na novém zařízení, nicméně díky dvoufázovému ověřovacímu systému, který odešle SMS na číslo oběti, se k účtu nedokáže přihlásit. O to mu ovšem ani nejde. Pravý uživatel účtu tak získá pocit, že dvoufázové zabezpečení WhatsAppu funguje tak, jak očekává. Jenže útočník v pokusech o přihlášení se k účtu oběti pokračuje. A to záměrně.
Po několika neúspěšných pokusech totiž z bezpečnostních důvodů dojde k automatickému zablokování přihlášení, respektive k přerušení zasílání ověřovacích SMS na 12 hodin. A právě na tuto fázi útočník čeká. Následně prakticky z jakékoliv e-mailové adresy zkontaktuje podporu WhatsAppu s tvrzením, že telefon spojený s daným telefonním číslem ztratil, či mu byl odcizen. A zažádá o deaktivaci účtu.
Nemožné? Nikoliv, WhatsApp sice podle Forbesu tento požadavek ověří automatickou e-mailovou odpovědí s požadavkem opětovného uvedení čísla, ta je přitom jen dalším krokem, který nahrává útočníkovi. Podpora totiž nemá jakoukoli možnost ověřit, zda ten, kdo žádá o zablokování účtu, je jeho skutečným uživatelem. Neexistují žádné další ověřovací otázky, které by potvrdily vlastnictví daného telefonního čísla. A tak automatický proces bez vědomí oběti účet deaktivuje.
Chatovací aplikace v telefonu vlastníka čísla přestane fungovat zhruba o hodinu později. Zobrazí se upozornění, že telefonní číslo již není u WhatsAppu na daném telefonu registrováno s tím, že mohlo dojít k registraci na jiném zařízení. V opačném případě má uživatel své číslo ověřit a přihlásit se zpět ke svému účtu. Jenže vzhledem k předchozímu zablokování přihlašování útočníkem nedorazí potřebná ověřovací SMS.
Opakovanou snahou o falešné přihlášení k účtu navíc může útočník de facto jakékoli budoucí přihlášení vlastníkem telefonního čísla zcela znemožnit. Stačí mu k tomu pouhé dva dvanáctihodinové cykly, následně aplikace v telefonu upozorní, že pokusů o přihlášení bylo už příliš s informací „zkuste to znovu po -1 sekundě“. V tu chvíli se již útočník nemůže ani pokusit o další přihlášení. Jenže ani skutečný vlastník čísla.
To představuje poměrně zásadní riziko pro dvě miliardy uživatelů WhatsAppu (více viz WhatsApp je obrovský, používají ho dvě miliardy lidí). Útočník se sice nedostane k obsahu jejich komunikace, jenže to ani není cílem jeho počínání. Mnohem znepokojivější je zjištění, že WhatsApp po žádosti portálu Androidpolice o vyjádření se k tomuto problému ani nenaznačil, že by bezpečnostní slabinu hodlal jakkoli řešit.
Zástupce společnosti pouze podotkl, že by si uživatelé WhatsAppu měli do informací ke svým účtům přidat i e-mailovou adresu, na kterou by je bylo možné v podobných případech kontaktovat. Společnost nicméně zdůraznila, že zneužití této bezpečnostní slabiny je v rozporu s podmínkami služby. Z její strany jde však prakticky o prostý alibismus, zmiňovaný útok je totiž zcela anonymní: lze jej uskutečnit z jakéhokoli mobilního zařízení a prostřednictvím jednorázového e-mailu. Vyvodit tak vůči útočníkovi důsledky plynoucí z porušení podmínek je nemožné.
