Los atacantes encontraron una forma de bloquear WhatsApp

cómo informa Forbes, los atacantes han ideado una nueva forma de empeorar la vida de los usuarios de WhatsApp. Todo lo que necesita hacer es conocer su número de teléfono, e incluso la autenticación de dos factores no le hará daño.

Funciona así. El atacante instala WhatsApp en su smartphone y entra tu número. Para obtener la autorización, su mensajero solicita un código, que llega a tu teléfono, pero lo ignora porque no lo solicitó y cree que es un error. El problema es que conseguir el código no era el objetivo.

El atacante ingresa códigos aleatorios una y otra vez, sin siquiera intentar adivinar el correcto. Después de varios intentos fallidos, el sistema bloquea el envío de nuevos códigos durante 12 horas. Por lo tanto, su mensajero está funcionando bien, pero el envío de códigos de autorización está suspendido. En teoría, esto no será un problema si no necesita volver a pasar por la verificación durante este tiempo.

Pero luego el mismo atacante crea un nuevo correo electrónico y escribe al soporte técnico que su número de teléfono [su número] fue robado, y solicita desactivar la cuenta asociada. El soporte técnico no verifica de ninguna manera si el número le pertenece y desactiva la cuenta.

Y solo en esta etapa el usuario comienza a tener problemas: aparece un mensaje de que el número de teléfono no está registrado en WhatsApp. Puede enviar un código de verificación para intentar iniciar sesión en su cuenta. Pero el sistema advierte que ha realizado demasiados intentos de entrada fallidos y debe esperar 12 horas. Ingresar los códigos que recibió anteriormente no funciona.

Si acaba de ser víctima de una broma de mal gusto, después de 12 horas puede recuperar el acceso. Sin embargo, es posible que un atacante no envíe una solicitud al soporte técnico, sino que repita el proceso de solicitud de códigos después de que expire el tiempo. La tercera vez (es decir, después de 24 horas desde el primer ataque) el sistema se avería: el temporizador no muestra 12 horas, sino -1 segundo, y en ambos teléfonos inteligentes. Es imposible arreglar esto.

Si luego envía una solicitud al soporte técnico, la cuenta se desactiva permanentemente, porque el temporizador está roto. Este es el peor desarrollo posible de eventos.

¿Cómo es esto posible?

La razón es simple: de hecho, el mensajero está vinculado solo al número de teléfono y no compara el sistema operativo y el número de identificación del dispositivo. Además, los propios usuarios no tienen ninguna protección contra los forasteros: si ingresa el número de alguien en el mensajero y una cuenta está vinculada a este número, se mostrará. No puede limitar la visibilidad de su cuenta.

Así, no es difícil saber quién está registrado en WhatsApp. Al mismo tiempo, los números de teléfono de los usuarios aparecen regularmente en filtraciones, como la reciente ciruela Bases de datos de Facebook.

No es difícil solucionar ambos problemas: basta con dar a los usuarios la posibilidad de ocultar su cuenta de la búsqueda y agregar método de identificación al ingresar desde un nuevo dispositivo: por ejemplo, confírmelo a través de uno ya autorizado en el sistema artilugio.

¿Qué pasa si intentan bloquear la cuenta?

Los representantes de WhatsApp dijeron que las víctimas de tales ataques deben comunicarse con el soporte técnico: tales acciones son contrarias a las reglas de uso de la plataforma. Vale la pena hacer esto tan pronto como note un SMS con códigos de acceso a WhatsApp que no solicitó.

También aconsejaron vincular un correo electrónico a su cuenta para facilitar la restauración del acceso. No hubo declaraciones sobre el aumento de la seguridad para que un extraño no pudiera bloquear su mensajero.