Nog een dag, weer een nieuwe beveiligingsfout die is gemarkeerd in het WhatsApp-ecosysteem. De laatste is een beetje vreemd, omdat het niet gaat om het exploiteren van een verborgen zero-day hack of iets dergelijks. In plaats daarvan maakt het gebruik van kleine mazen in het inlog- en verificatiesysteem van WhatsApp om een gebruiker buiten de WhatsApp-chats te houden, wat leidt tot onderbreking van de workflow, gegevensverlies en algemeen ongemak. Gerapporteerd door beveiligingsonderzoekers Luis Carpintero en Ernesto Perena van Forbes, is de bovengenoemde WhatsApp-fout een zeer eenvoudige aanval die rudimentaire maar duidelijk effectieve technieken gebruikt om een gebruiker mogelijk voor altijd van zijn account te blokkeren.
De fout begint wanneer een aanvaller zich meerdere keren op het telefoonnummer van een persoon richt met inlogpogingen. Een ding om in gedachten te houden is dat zelfs wanneer een persoon inlogt op zijn WhatsApp-account, een derde partij kan proberen in te loggen met het telefoonnummer van de eerste persoon op een ander apparaat, zonder dat er vragen worden gesteld. Tijdens dit inlogproces hebben aanvallers duidelijk geen toegang tot het eenmalige wachtwoord van zes cijfers dat naar het apparaat van de gebruiker wordt verzonden. In dit stadium kunnen gebruikers plotseling worden gebombardeerd door WhatsApp-inlog-OTP’s, ook al hebben ze hier niet zelf om gevraagd. Dit is duidelijk een indicatie dat er iets mis is, hoewel het ongelukkige is dat zelfs voor gebruikers die zich bewust zijn van het probleem, er niet veel is dat ze kunnen doen.
De aanvallers toonden later aan hoe ze na een bepaald aantal pogingen 12 uur lang geen nieuwe inlogcodes konden verkrijgen, daarbij verwijzend naar veiligheidsproblemen. In dit stadium stuurden de aanvallers een e-mail naar WhatsApp Support waarin staat dat hun account is gehackt of gestolen, met het verzoek om de toegang tot het account op alle apparaten te blokkeren. Dit is het verbazingwekkende, want zelfs bij het verschijnen van een willekeurige e-mail van een account dat niet aan een nummer is gekoppeld, blokkeert WhatsApp-ondersteuning nog steeds de toegang tot een account, zonder dat er vragen worden gesteld. Zelfs de echte gebruiker, die nog steeds zoals gewoonlijk was ingelogd op zijn WhatsApp-account, is op dit moment plotseling uitgelogd.
Daarom is er geen manier voor een gebruiker om zijn account te herstellen, omdat ze ook beperkt zijn tot dezelfde beperkingen die de aanvaller zou zien. Om het nog erger te maken, zelfs na de vastgestelde periode van 12 uur, kunnen de aanvallers dit proces nog twee rondes herhalen, en in de derde ronde lijkt WhatsApp de toegang tot uw account permanent te blokkeren, omdat het account niet kan worden hersteld na een bepaald aantal uur, en alle gegevens worden permanent verwijderd als er binnen 12 uur geen actie wordt ondernomen.
Carpintero en Perena, die deze geconstrueerde WhatsApp-hack ontdekten, beweren dat het echte probleem het gebrek aan verificatie in de e-mailfase is en het volledig omzeilen van tweefactorauthenticatie in dit proces, iets dat idealiter had moeten werken. daadwerkelijke accounteigenaar om de hackpoging te omzeilen en de controle over hun eigen WhatsApp-account terug te krijgen of te behouden. In plaats daarvan is het probleem hier dat het WhatsApp 2FA-scherm na het OTP-scherm komt, wat betekent dat zodra de OTP-ontvangst is geblokkeerd, de 2FA-stap als volledig nutteloos wordt beschouwd.
Als beveiligingsstap stelden de onderzoekers dat WhatsApp het koppelen van meerdere apparaten en authenticatie op het apparaat als een proces zou kunnen beschouwen, zodra de functie (die momenteel in bèta is) wordt ingezet als een stabiele build. Ze raden WhatsApp ook aan om 2FA te gebruiken als een soort stroomonderbreker bij een dergelijke hack, waarbij ze verder stellen dat het probleem ligt in de gemakkelijke openbare zichtbaarheid van WhatsApp-accounts. Een WhatsApp-woordvoerder vertelde Forbes dat een dergelijke reeks acties door een aanvaller hun gebruiksbeleid zou schenden, en dat gebruikers hun eigen e-mailadres moeten opgeven samen met 2FA-instellingen, om een verificatielaag toe te voegen en een dergelijke hack te voorkomen.
Hoewel de mate van inspanning die nodig is voor een dergelijke hack, en de buit die ermee wordt verkregen, zou betekenen dat dit alleen kan worden toegepast op diegenen die specifiek een persoon willen aanvallen voor hun persoonlijke agenda en niet als een massale aanval, is het nog steeds niet stop de aanval.. vrij ernstig van aard zijn. Gebruikers worden dringend verzocht, zoals altijd, waakzaam te blijven en hun telefoonnummers niet verder te delen dan nodig is, of hun OTP’s waar dan ook te onthullen.
Bedankt voor het lezen tot het einde van dit artikel. Voor meer informatieve en exclusieve technische inhoud, zoals onze Facebook-pagina