Οι επιτιθέμενοι θα μπορούσαν να έχουν κλείσει τον λογαριασμό σας στο WhatsApp με ένα απλό email
Το
WhatsApp
είναι μια από τις πιο ευρέως χρησιμοποιούμενες λύσεις ανταλλαγής μηνυμάτων και αυτό οφείλεται τουλάχιστον εν μέρει στην πλήρη κρυπτογράφηση από άκρο σε άκρο (E2EE). Ωστόσο, το E2EE ως αυτόνομο χαρακτηριστικό ασφαλείας είναι αρκετά άχρηστο εάν δεν υποστηρίζεται από αυστηρά μέτρα που αποτρέπουν τη μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς χρηστών. Καθώς οι υπηρεσίες αναπτύσσονται, βλέπουμε όλο και λιγότερες τέτοιες ευπάθειες, αλλά ένα ζήτημα WhatsApp που τέθηκε πρόσφατα στο φως είναι ιδιαίτερα καταδικαστικό, επειδή οποιοσδήποτε θα μπορούσε να απενεργοποιήσει εξ αποστάσεως τον λογαριασμό σας χωρίς τη συγκατάθεσή του.
Στη σπάνια περίπτωση που κλαπεί το κύριο τηλέφωνό σας και δεν μπορείτε να αποκτήσετε πρόσβαση στο WhatsApp, η υπηρεσία ανταλλαγής μηνυμάτων που ανήκει στην
Meta
καθιστά εύκολο να ζητήσετε την απομακρυσμένη απενεργοποίηση του λογαριασμού σας WhatsApp για την αποφυγή κακής χρήσης. Η τεκμηρίωση υποστήριξης του WhatsApp δηλώνει ξεκάθαρα ότι πρέπει απλώς να τραβήξετε ένα email που περιέχει τη φράση “Χάθηκε/Κλάπηκε: Παρακαλώ απενεργοποιήστε τον λογαριασμό μου” μαζί με τον αριθμό τηλεφώνου σας σε πλήρη διεθνή μορφή. Σε έναν ουτοπικό κόσμο, αυτό το σύστημα θα μπορούσε να λειτουργήσει καλά για μια εταιρεία που διατηρεί μια χούφτα λογαριασμούς χρηστών, αλλά όχι για το WhatsApp και δισεκατομμύρια χρήστες του.
Παγκόσμιος Σύμβουλος Κυβερνοασφάλειας της
ESET
Τζέικ Μουρ
σωστά επισημαίνει ότι δεν ζούμε σε έναν ιδανικό κόσμο. Επιπλέον, η διαδικασία του WhatsApp είναι πλήρως αυτοματοποιημένη και δεν επαληθεύει εάν ο αποστολέας email είναι ο πραγματικός κάτοχος του λογαριασμού WhatsApp που πρόκειται να απενεργοποιηθεί. Σε ένα τέτοιο σενάριο, είναι εύκολο να φανταστεί κανείς πώς όποιος γνωρίζει τον αριθμό τηλεφώνου σας μπορεί να δημιουργήσει μια διεύθυνση email και να ζητήσει την απενεργοποίηση του λογαριασμού σας, όλα πίσω από την πλάτη σας.
Οι επαγγελματίες εγκληματίες του κυβερνοχώρου θα μπορούσαν να προχωρήσουν ένα βήμα παραπέρα και να εκμεταλλευτούν αυτό το σύστημα σε κλίμακα χρησιμοποιώντας αυτοματοποιημένα σενάρια που απενεργοποιούν τυχαία λογαριασμούς WhatsApp, εκτελώντας επανειλημμένα
άρνηση παροχής υπηρεσιών
(DOS) επιτίθεται έως ότου τα αθώα θύματα πληρώσουν για την πρόσβαση στον λογαριασμό τους στο WhatsApp. Θα μπορούσαν επίσης να κλέψουν στοιχεία επικοινωνίας για να στοχεύσουν περισσότερα άτομα ή απλώς να διαγράψουν συνομιλίες που δεν θα μπορούσατε να ανακτήσετε εκτός εάν είχατε πρόσφατο αντίγραφο ασφαλείας του WhatsApp.
Ευτυχώς, η Meta φαίνεται να έχει συνειδητοποιήσει το ελάττωμα – ή ίσως απλώς έλαβε έναν άσεμνο αριθμό αιτημάτων απενεργοποίησης. Προς το παρόν, η άμεση απενεργοποίηση λογαριασμού έχει απενεργοποιηθεί. Εάν πέσατε θύμα μιας τέτοιας επίθεσης, η τεκμηρίωση υποστήριξης αναφέρει ξεκάθαρα ότι μπορείτε να ανακτήσετε τους απενεργοποιημένους λογαριασμούς και όλα τα μη αναγνωσμένα μηνύματα εντός 30 ημερών.
Συγχαίρουμε το WhatsApp για την ταχεία παρέμβασή του, αλλά η πλέον καταργημένη λειτουργία μοιάζει με μια εφαρμογή boilerplate που έχει απομείνει από την εποχή που το WhatsApp ήταν μια νέα εφαρμογή. Σε ένα
ξεχωριστό tweet
, ο σύμβουλος κυβερνοασφάλειας πρότεινε το WhatsApp να ενεργοποιήσει ξανά το σύστημα και να διασκεδάσει μόνο αιτήματα απενεργοποίησης από μηνύματα ηλεκτρονικού ταχυδρομείου που συνδέονται με τους κατόχους λογαριασμών WhatsApp. Πρόσθεσε ότι η επαλήθευση σε δύο βήματα θα πρέπει να είναι υποχρεωτική για όλους τους λογαριασμούς WhatsApp, αντί να είναι μια επιλογή όπως είναι τα πράγματα σήμερα.
Θα παρακολουθούμε πώς το WhatsApp εφαρμόζει συστήματα απενεργοποίησης λογαριασμού μετά από αυτήν την αποκάλυψη.
