Новости

05.10.2018

Участились случаи взлома WhatsApp

Опубликован сравнительно новый способ угона учетных записей мессенджера с помощью голосовой почты.

Национальное управление по киберзащите Израиля опубликовало документ, в котором раскрывается сравнительно новый способ угона учетных записей популярного мессенджера WhatsApp. При этом уязвимости в самом мессенджере не используются.

Впервые подобный метод взлома был описан web-разработчиком Раном Бар-Зиком. Взлому подвержены пользователи, которые не изменили пароль по-умолчанию для голосовой почты. Возможность угона учетной записи появляется при попытке злоумышленника добавить номер телефона жертвы в новую установку WhatsApp.

Для добавления номера требуется ввести одноразовый пароль, который отправляется по SMS. Если жертва находится далеко от телефона или не может прочитать SMS и ответить на звонок, тогда атакующий может успешно провести атаку. После нескольких неудачных попыток ввода кода валидации, мессендежр предложит пройти голосовую проверку. Для этого по номеру телефона жертвы совершается звонок и робот диктует код проверки. Поскольку жертва не может ответить на звонок, то происходит переключение на голосовую почту.

Теперь злоумышленнику достаточно обратиться к голосовому ящику жертвы, что бы узнать код валидации и успешно завершить атаку. Таким образом, номер телефона пользователя окажется привязанным к аккаунту злоумышленника. Завладев чужой учетной записью, злоумышленник может настроить двухфакторную аутентификацию, и жертва не сможет вернуть ее обратно.

Поскольку услуга голосовой почты подключается операторами сотовой связи по умолчанию, рекомендуется всем пользователям изменить пароль для доступа к ящику.

Участились случаи взлома WhatsApp

Опубликован сравнительно новый способ угона учетных записей мессенджера с помощью голосовой почты.