हमलावरों ने व्हाट्सएप को ब्लॉक करने का एक तरीका ढूंढ लिया

किस तरह सूचित फोर्ब्स, हमलावरों ने व्हाट्सएप उपयोगकर्ताओं के जीवन को बदतर बनाने के लिए एक नया तरीका पेश किया है। आपको बस अपना फोन नंबर पता होना चाहिए - और यहां तक ​​कि दो-कारक प्रमाणीकरण को चोट नहीं पहुंचेगी।

यह इस तरह काम करता है। हमलावर अपने स्मार्टफोन में व्हाट्सएप इंस्टॉल करता है और प्रवेश करता है तो आप का संख्या। प्राधिकरण के लिए, उसका दूत एक कोड के लिए पूछता है - जो आता है तो आप का फ़ोन, लेकिन आप इसे अनदेखा कर देते हैं क्योंकि आपने इसके लिए नहीं पूछा और लगता है कि यह एक गलती है। समस्या यह है कि कोड प्राप्त करना लक्ष्य नहीं था।

हमलावर सही कोड का अनुमान लगाने की कोशिश किए बिना, बार-बार यादृच्छिक कोड दर्ज करता है। कई असफल प्रयासों के बाद, सिस्टम 12 घंटों के लिए नए कोड भेजने को रोकता है। इस प्रकार, आपका मैसेंजर ठीक काम कर रहा है, लेकिन प्राधिकरण कोड भेजना निलंबित है। सिद्धांत रूप में, यह एक समस्या नहीं होगी यदि आपको इस समय के दौरान फिर से सत्यापन से गुजरने की आवश्यकता नहीं है।

लेकिन फिर वही हमलावर एक नया ईमेल बनाता है और तकनीकी सहायता के लिए लिखता है कि उसका फोन नंबर [आपका नंबर] चोरी हो गया था, और संबंधित खाते को निष्क्रिय करने के लिए कहता है। तकनीकी सहायता किसी भी तरह से जांच नहीं करती है कि नंबर उसके पास है या खाता निष्क्रिय कर दिया गया है।

और केवल इस स्तर पर उपयोगकर्ता को समस्याएं होने लगती हैं: एक संदेश प्रकट होता है कि फोन नंबर व्हाट्सएप के साथ पंजीकृत नहीं है। अपने खाते में लॉग इन करने के लिए आप एक सत्यापन कोड भेज सकते हैं। लेकिन सिस्टम चेतावनी देता है कि आपने बहुत सारे असफल इनपुट प्रयास किए हैं और 12 घंटे इंतजार करना होगा। आपके द्वारा पहले प्राप्त कोड दर्ज करने से काम नहीं चलता है।

यदि आप सिर्फ एक बुरे मजाक का शिकार हुए, तो 12 घंटे के बाद आप पहुंच हासिल कर सकते हैं। हालाँकि, एक हमलावर तकनीकी सहायता के लिए अनुरोध नहीं भेज सकता है, लेकिन इसके बजाय टाइमर समाप्त होने के बाद कोड अनुरोध करने की प्रक्रिया को दोहराएं। तीसरी बार (यानी, पहले हमले के 24 घंटे बाद) प्रणाली टूट जाती है: टाइमर 12 घंटे नहीं, बल्कि -1 सेकंड - और दोनों स्मार्टफ़ोन पर प्रदर्शित होता है। इसे ठीक करना असंभव है।

यदि आप तकनीकी सहायता के लिए अनुरोध भेजते हैं, तो खाता स्थायी रूप से निष्क्रिय कर दिया जाता है, क्योंकि टाइमर टूट गया है। यह घटनाओं का सबसे खराब संभव विकास है।

यह कैसे हो सकता है?

कारण सरल है: वास्तव में, मैसेंजर केवल फोन नंबर से बंधा हुआ है और ऑपरेटिंग सिस्टम और डिवाइस पहचान संख्या की तुलना नहीं करता है। इसके अलावा, उपयोगकर्ताओं को स्वयं बाहरी लोगों से कोई सुरक्षा नहीं है: यदि आप मैसेंजर में किसी का नंबर दर्ज करते हैं और एक खाता इस नंबर से जुड़ा हुआ है, तो इसे प्रदर्शित किया जाएगा। आप अपने खाते की दृश्यता को सीमित नहीं कर सकते।

इस प्रकार, यह पता लगाना मुश्किल नहीं है कि व्हाट्सएप के साथ पंजीकृत कौन है। इसी समय, उपयोगकर्ताओं के फोन नंबर नियमित रूप से लीक में सतह - हाल ही में बड़े पैमाने पर की तरह बेर फेसबुक डेटाबेस।

दोनों समस्याओं को ठीक करना मुश्किल नहीं है: यह उपयोगकर्ताओं को खोज से अपने खाते को छिपाने और जोड़ने की क्षमता देने के लिए पर्याप्त है नए उपकरण से प्रवेश करते समय पहचान की विधि: उदाहरण के लिए, सिस्टम में पहले से अधिकृत एक के माध्यम से इसकी पुष्टि करें गैजेट

यदि वे खाते को अवरुद्ध करने का प्रयास करते हैं तो क्या होगा?

व्हाट्सएप प्रतिनिधियों ने कहा कि इस तरह के हमलों के पीड़ितों को तकनीकी सहायता से संपर्क करना चाहिए: इस तरह की कार्रवाई प्लेटफॉर्म का उपयोग करने के नियमों के विपरीत है। ऐसा करने के लायक है जैसे ही आप व्हाट्सएप एक्सेस कोड के साथ एक एसएमएस देखते हैं जो आपने नहीं पूछा था।

उन्होंने पहुंच को बहाल करने के लिए एक ईमेल को आपके खाते से जोड़ने की भी सलाह दी। सुरक्षा बढ़ाने के बारे में कोई बयान नहीं दिया गया ताकि कोई बाहरी व्यक्ति आपके दूत को ब्लॉक न कर सके।