Sobota 8. května 2021, Den vítězství
  • schránka
  • Přihlásit Můj účet
  • Sobota 8. května 2021 Den vítězství

Prakticky kdokoli může zablokovat váš WhatsApp účet. Stačí opravdu málo

  6:03
Oblíbená chatovací aplikace WhatsApp obsahuje zásadní bezpečnostní slabinu. Kvůli ní může prakticky kdokoli zablokovat cizí účet jen na základě znalosti telefonního čísla oběti.

Zabezpečení WhatsAppu obsahuje zásadní slabinu. Ilustrační snímek | foto: AP

O bezpečnostní slabině, kvůli níž může prakticky kterýkoli z uživatelů WhatsAppu přijít o přístup ke svému účtu, informoval portál Forbes. Nepomůže ani dvoufázové ověření, naopak právě to zásadním způsobem přispěje k nemožnosti používat nadále svůj účet.

Na znepokojující bezpečnostní slabinu oblíbené chatovací aplikace ve vlastnictvím Facebooku upozornili španělští vědci Luis Márquez Carpintero a Ernesto Canales Pereña. Útočníkovi podle jejich zjištění postačí znát jen telefonní číslo oběti.

To zadá při aktivaci WhatsAppu na novém zařízení, nicméně díky dvoufázovému ověřovacímu systému, který odešle SMS na číslo oběti, se k účtu nedokáže přihlásit. O to mu ovšem ani nejde. Pravý uživatel účtu tak získá pocit, že dvoufázové zabezpečení WhatsAppu funguje tak, jak očekává. Jenže útočník v pokusech o přihlášení se k účtu oběti pokračuje. A to záměrně.

Po několika neúspěšných pokusech totiž z bezpečnostních důvodů dojde k automatickému zablokování přihlášení, respektive k přerušení zasílání ověřovacích SMS na 12 hodin. A právě na tuto fázi útočník čeká. Následně prakticky z jakékoliv e-mailové adresy zkontaktuje podporu WhatsAppu s tvrzením, že telefon spojený s daným telefonním číslem ztratil, či mu byl odcizen. A zažádá o deaktivaci účtu.

Nemožné? Nikoliv, WhatsApp sice podle Forbesu tento požadavek ověří automatickou e-mailovou odpovědí s požadavkem opětovného uvedení čísla, ta je přitom jen dalším krokem, který nahrává útočníkovi. Podpora totiž nemá jakoukoli možnost ověřit, zda ten, kdo žádá o zablokování účtu, je jeho skutečným uživatelem. Neexistují žádné další ověřovací otázky, které by potvrdily vlastnictví daného telefonního čísla. A tak automatický proces bez vědomí oběti účet deaktivuje.

Chatovací aplikace v telefonu vlastníka čísla přestane fungovat zhruba o hodinu později. Zobrazí se upozornění, že telefonní číslo již není u WhatsAppu na daném telefonu registrováno s tím, že mohlo dojít k registraci na jiném zařízení. V opačném případě má uživatel své číslo ověřit a přihlásit se zpět ke svému účtu. Jenže vzhledem k předchozímu zablokování přihlašování útočníkem nedorazí potřebná ověřovací SMS.

Opakovanou snahou o falešné přihlášení k účtu navíc může útočník de facto jakékoli budoucí přihlášení vlastníkem telefonního čísla zcela znemožnit. Stačí mu k tomu pouhé dva dvanáctihodinové cykly, následně aplikace v telefonu upozorní, že pokusů o přihlášení bylo už příliš s informací „zkuste to znovu po -1 sekundě“. V tu chvíli se již útočník nemůže ani pokusit o další přihlášení. Jenže ani skutečný vlastník čísla.

To představuje poměrně zásadní riziko pro dvě miliardy uživatelů WhatsAppu (více viz WhatsApp je obrovský, používají ho dvě miliardy lidí). Útočník se sice nedostane k obsahu jejich komunikace, jenže to ani není cílem jeho počínání. Mnohem znepokojivější je zjištění, že WhatsApp po žádosti portálu Androidpolice o vyjádření se k tomuto problému ani nenaznačil, že by bezpečnostní slabinu hodlal jakkoli řešit.

Zástupce společnosti pouze podotkl, že by si uživatelé WhatsAppu měli do informací ke svým účtům přidat i e-mailovou adresu, na kterou by je bylo možné v podobných případech kontaktovat. Společnost nicméně zdůraznila, že zneužití této bezpečnostní slabiny je v rozporu s podmínkami služby. Z její strany jde však prakticky o prostý alibismus, zmiňovaný útok je totiž zcela anonymní: lze jej uskutečnit z jakéhokoli mobilního zařízení a prostřednictvím jednorázového e-mailu. Vyvodit tak vůči útočníkovi důsledky plynoucí z porušení podmínek je nemožné.

Autor:
  • Nejčtenější

Máte jeden z těchto mobilů? Brzy si s ním na mobilním internetu neškrtnete

Letošek je v Česku ve znamení vypínání sítí postavených na zastaralé 3G technologii. Jako poslední ji koncem listopadu...

Už žádná tyčinka do nosu. Němci odhalí covid-19 z očí pomocí aplikace

Němečtí vědci představili alternativní metodu, jak se otestovat na covid-19 bez nutnosti použití výtěrové štětičky....

Připraví vás o peníze. Flubot útočí přes SMS už i v Česku

Evropskými zeměmi se prostřednictvím SMS šíří nový malware Flubot, který cílí na androidí smartphony. Textovka vzbuzuje...

Porovnejte si ceny pevného internetu a televize. Srovnal vám je úřad

Český telekomunikační úřad letos v březnu spustil srovnávač cen mobilních služeb. Současně přislíbil brzké rozšíření o...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Velký únik. Samsung neuhlídal klíčové novinky, rozmazaná podoba je venku

Snímky z promo materiálů k připravovaným ohebným novinkám řady Galaxy Z, modelům Flip a Fold se objevily na internetu....

Pochvaly bych výrazně omezil, víc berou než dávají, vysvětluje psycholog

Premium Stále více čelíme nezdravému tlaku, abychom byli úspěšnější a výkonnější. Jak budovat zdravé sebevědomí? Jak správně...

Opakovaný výstup na osmitisícovku může urychlit demenci, říká neurochirurg Beneš

Premium Špičkový neurochirurg Vladimír Beneš, už třetí v řadě slavné neurochirurgické dynastie, o šťourátku v mozku, hezkých...

Pohodlnější to nikdy nebylo. Velký přehled služeb televize přes internet

Premium Otestovali jsme devět služeb televize přes internet. Vybrali jsme ty, které můžete používat s libovolným poskytovatelem...

  • Další z rubriky

Designér Giuseppe Spinelli naznačuje design nového véčka Samsungu

Letošní léto bude u Samsungu patřit skládacím smartphonům. Dočkáme se totiž nejen třetí generace foldu, ale i nového...

Tříletá záruka na smartphony. Španělé si vydupali rok navíc

Očekává se, že ve Španělsku brzy vejde v platnost nový zákon, který velmi potěší kupce smartphonů. Nově by měli mít...

I fitness náramek může vypadat elegantně jako chytré hodinky

Prohlédli jsme si model chytrého náramku Watch Fit od Huaweie, který se snaží vypadat jako elegantní, avšak kompaktní...

Vybírejte mobil chytře. Toto jsou nejlevnější možnosti podle vašich priorit

Premium Určete si priority, které od nového mobilu vyžadujete. Podle nich pak přístroj vybírejte. Nebudete tak zbytečně platit...

Výchova šokem: policie vytáhla čumila z auta, aby si prohlédl mrtvolu

Na německé dálnici A3 v Hesensku v neděli zahynuli při dopravní nehodě dva mladí lidé, muž ve věku 35 let na místě,...

Máte jeden z těchto mobilů? Brzy si s ním na mobilním internetu neškrtnete

Letošek je v Česku ve znamení vypínání sítí postavených na zastaralé 3G technologii. Jako poslední ji koncem listopadu...

Kristelová žaluje Novotného. Za zničenou kariéru chce půl milionu

Soud začal projednávat žalobu Kateřiny Kristelové na Pavla Novotného. Moderátorka tvrdí, že jí někdejší bulvární...

Nová Škoda Fabia odhalena, ceny startují na 330 tisících

Škoda odhalila v online světové premiéře čtvrtou generaci modelu Fabia. Automobilka také zveřejnila základní cenu...

KOMENTÁŘ: Konec legrace, teď začne pořádné zdražování

Postupné zpomalování růstu cen, které v Česku probíhalo od loňského července, je u konce. V březnu byla inflace na...