Een unieke en verontrustende beveiligingsfout in WhatsApp stelt iedereen in staat uw account in deze service te blokkeren zolang ze uw telefoonnummer kennen.
Het probleem is niet een interne fout in de WhatsApp-code, maar een verontrustende fout in de manier waarop de service accounts vergrendelt. De aanvaller zal uw berichten niet lezen, maar zal u geen toegang geven tot de populaire berichtentoepassing zonder dat u weet wat er is gebeurd.
Een probleem in WhatsApp dat voor veel kopzorgen kan zorgen
Het mechanisme is simpel. De aanvaller installeert WhatsApp op een nieuwe mobiele telefoon en voert je nummer in om de dienst te activeren. Ze kunnen het niet verifiëren omdat die sleutel uw telefoonnummer bereikt.
Omdat hij je telefoonnummer heeft gebruikt, voert hij verschillende willekeurige verificatiesleutels in die mislukken en na verschillende pogingen staat de app de aanvaller niet toe om nieuwe zescijferige codes in te voeren om dat account 12 uur lang te valideren.
Voor het slachtoffer blijft alles voorlopig werken, maar hier komt het interessante deel om de hoek kijken: wanneer dat account wordt geblokkeerd, stuurt de aanvaller een e-mail (van een wegwerpadres, bijvoorbeeld een nieuw Gmail-account) naar de WhatsApp ondersteuningsadres. In dat bericht is het voldoende om hen te vertellen dat uw mobiele telefoon is gestolen of zoekgeraakt en dat de service moet worden uitgeschakeld.
Het enige dat WhatsApp hier doet, is geloven dat de identiteit van de aanvaller legitiem is in een geautomatiseerd proces dat geen verdere actie vereist, de service neemt het gewoon als vanzelfsprekend aan en het proces eindigt met het bereikte doel: je WhatsApp-account wordt opgeschort zonder verdere actie. De aanvaller kan het proces meerdere keren herhalen om het voor jou bijna onmogelijk te maken om de app normaal te gebruiken.
Deze beveiligingslek kan ertoe leiden dat uw account wordt geblokkeerd
U moet wachten tot het einde van de periode van 12 uur die de aanvaller had geïnitieerd door het mislukken van de verificatiecode. Vanaf dat moment kun je het account opnieuw activeren, maar je zult het moeten blijven proberen zonder te weten wanneer die 12 uur voorbij zijn.
Hoewel deze beveiligingsfout geen toegang geeft tot onze berichten of contacten, kan elke aanvaller met ons telefoonnummer ons veel ongemak bezorgen. Managers van WhatsApp en Facebook lijken op dit moment geen mogelijke oplossing te overwegen.