Čtvrtek 13. května 2021, svátek má Servác
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 13. května 2021 Servác

Prakticky kdokoli může zablokovat váš WhatsApp účet. Stačí opravdu málo

  6:03
Oblíbená chatovací aplikace WhatsApp obsahuje zásadní bezpečnostní slabinu. Kvůli ní může prakticky kdokoli zablokovat cizí účet jen na základě znalosti telefonního čísla oběti.

Zabezpečení WhatsAppu obsahuje zásadní slabinu. Ilustrační snímek | foto: AP

O bezpečnostní slabině, kvůli níž může prakticky kterýkoli z uživatelů WhatsAppu přijít o přístup ke svému účtu, informoval portál Forbes. Nepomůže ani dvoufázové ověření, naopak právě to zásadním způsobem přispěje k nemožnosti používat nadále svůj účet.

Na znepokojující bezpečnostní slabinu oblíbené chatovací aplikace ve vlastnictvím Facebooku upozornili španělští vědci Luis Márquez Carpintero a Ernesto Canales Pereña. Útočníkovi podle jejich zjištění postačí znát jen telefonní číslo oběti.

To zadá při aktivaci WhatsAppu na novém zařízení, nicméně díky dvoufázovému ověřovacímu systému, který odešle SMS na číslo oběti, se k účtu nedokáže přihlásit. O to mu ovšem ani nejde. Pravý uživatel účtu tak získá pocit, že dvoufázové zabezpečení WhatsAppu funguje tak, jak očekává. Jenže útočník v pokusech o přihlášení se k účtu oběti pokračuje. A to záměrně.

Po několika neúspěšných pokusech totiž z bezpečnostních důvodů dojde k automatickému zablokování přihlášení, respektive k přerušení zasílání ověřovacích SMS na 12 hodin. A právě na tuto fázi útočník čeká. Následně prakticky z jakékoliv e-mailové adresy zkontaktuje podporu WhatsAppu s tvrzením, že telefon spojený s daným telefonním číslem ztratil, či mu byl odcizen. A zažádá o deaktivaci účtu.

Nemožné? Nikoliv, WhatsApp sice podle Forbesu tento požadavek ověří automatickou e-mailovou odpovědí s požadavkem opětovného uvedení čísla, ta je přitom jen dalším krokem, který nahrává útočníkovi. Podpora totiž nemá jakoukoli možnost ověřit, zda ten, kdo žádá o zablokování účtu, je jeho skutečným uživatelem. Neexistují žádné další ověřovací otázky, které by potvrdily vlastnictví daného telefonního čísla. A tak automatický proces bez vědomí oběti účet deaktivuje.

Chatovací aplikace v telefonu vlastníka čísla přestane fungovat zhruba o hodinu později. Zobrazí se upozornění, že telefonní číslo již není u WhatsAppu na daném telefonu registrováno s tím, že mohlo dojít k registraci na jiném zařízení. V opačném případě má uživatel své číslo ověřit a přihlásit se zpět ke svému účtu. Jenže vzhledem k předchozímu zablokování přihlašování útočníkem nedorazí potřebná ověřovací SMS.

Opakovanou snahou o falešné přihlášení k účtu navíc může útočník de facto jakékoli budoucí přihlášení vlastníkem telefonního čísla zcela znemožnit. Stačí mu k tomu pouhé dva dvanáctihodinové cykly, následně aplikace v telefonu upozorní, že pokusů o přihlášení bylo už příliš s informací „zkuste to znovu po -1 sekundě“. V tu chvíli se již útočník nemůže ani pokusit o další přihlášení. Jenže ani skutečný vlastník čísla.

To představuje poměrně zásadní riziko pro dvě miliardy uživatelů WhatsAppu (více viz WhatsApp je obrovský, používají ho dvě miliardy lidí). Útočník se sice nedostane k obsahu jejich komunikace, jenže to ani není cílem jeho počínání. Mnohem znepokojivější je zjištění, že WhatsApp po žádosti portálu Androidpolice o vyjádření se k tomuto problému ani nenaznačil, že by bezpečnostní slabinu hodlal jakkoli řešit.

Zástupce společnosti pouze podotkl, že by si uživatelé WhatsAppu měli do informací ke svým účtům přidat i e-mailovou adresu, na kterou by je bylo možné v podobných případech kontaktovat. Společnost nicméně zdůraznila, že zneužití této bezpečnostní slabiny je v rozporu s podmínkami služby. Z její strany jde však prakticky o prostý alibismus, zmiňovaný útok je totiž zcela anonymní: lze jej uskutečnit z jakéhokoli mobilního zařízení a prostřednictvím jednorázového e-mailu. Vyvodit tak vůči útočníkovi důsledky plynoucí z porušení podmínek je nemožné.

Autor:
  • Nejčtenější

Každý třetí smartphone je v ohrožení. Ověřte si, jaký procesor máte

Přístup k historii hovorů, SMS či možnost odposlouchávat hovory. Nejen to podle bezpečnostních expertů z Check Point...

Připraví vás o peníze. Flubot útočí přes SMS už i v Česku

Evropskými zeměmi se prostřednictvím SMS šíří nový malware Flubot, který cílí na androidí smartphony. Textovka vzbuzuje...

KVÍZ: Znáte ještě tyto mobilní zkratky a pojmy? Kdysi jste je používali

Mobily a vše okolo nich se stále rapidně proměňuje. S nástupem smartphonů, nových sítí a dalších inovací zmizely pojmy,...

Zlatá telefonní čísla překupníky stále lákají. Mohou slušně vydělat

Premium Operátoři si za ně účtují šest tisíc korun, v rukách překupníků však jejich cena výrazně roste. Přeprodej takzvaných...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

WhatsApp mění podmínky použití. Stále hrozí omezením funkčnosti aplikace

V sobotu 15. května začne WhatsApp uplatňovat nové podmínky použití. Společnost k nim přistupuje z důvodu rozšíření...

Lékařské špičky v kauze obřích pojistných podvodů. Hrozí jim až 10 let

Premium Uznávaní doktoři „léčili“ neexistující zranění. V kauze tří stovek pojistných podvodů za 50 milionů korun je obžalováno...

Procházku vypnu, slibuje Rakić. Uznávaný sudí analyzuje: Dokázal by to, ale...

Premium Z Jiřího Procházky se mezi konkurenty polotěžké váhy UFC (93 kg) stává žádané zboží. O novou dvojku divize si hlasitě...

Nejproočkovanější země světa zavádí tvrdá opatření. Covid mají i očkovaní

Premium Na Seychelách vyskočil součet všech případů za více než rok pandemie v posledních třech dnech o třináctinu. Problém je...

  • Další z rubriky

Nejnovější Samsungy S21 už koupíte se slevou. A i mnoho dalších modelů

Samsung letos představil top modely řady S už v lednu, takže je čas na tradiční slevy. Levněji koupíte i některé další...

Xiaomi vymyslelo velmi složité řešení komplikovaného problému

Přestože úplně první použití poddisplejového fotoaparátu dopadlo strašně, tak se toto řešení už letos objeví v několika...

Google má zaplatit 2,6 miliardy. Podle Italů zneužívá své dominance

Pokutu ve výši 102 milionů eur, tedy v přepočtu zhruba 2,6 miliardy korun, má zaplatit americký Google v Itálii kvůli...

Začínali výhradně na iPhonech. Teď se fenomén Clubhouse stěhuje i na Android

Ještě před pár měsíci byl o novou službu ohromný zájem. Sociální síť Clubhouse ovšem v posledních týdnech zaznamenala...

Bohuš Matuš se oženil v Krtkově světě. Vzal si o 30 let mladší Lucii

Bohuš Matuš (47) a Lucie Palkaninová (18) jsou manželé. Vzali se ve středu odpoledne v rodinném parku Krtkův svět v...

Havlové je po očkování špatně. Nerada jsem se podřídila celku, napsala

Dagmar Havlová (68) se fanouškům na sociálních sítích svěřila s tím, že jí momentálně není dobře. Po první dávce...

Udělal chybu, bude pykat, říká moderátorka Křížková o manželově trestu vězení

Modelka a moderátorka Lucie Křížková (36), rozená Váchová, se na Instagramu svěřila s překvapivou novinkou z osobního...

Dům sestavili na pozemku za den. Na 56 metrů čtverečních se vešlo vše

Jednašedesátka, tedy obytný dům s pořadovým číslem Freedomky No. 061, byl na pozemku sestaven, k překvapení sousedů,...

Televize NBC odmítá vysílat Zlaté glóby, Cruise kvůli porotě vrací trofeje

Americká televize NBC nebude příští rok vysílat slavnostní předávání Zlatých glóbů. Rozhodla se tak po vlně...