Váš účet na WhatsApp může pozastavit prakticky kdokoli, kdo zná vaše telefonní číslo. Nepotřebuje přístup k vašemu telefonu, ani nejde o žádné pokročilé hackerské praktiky. Aktuálně (v úterý 13. dubna dopoledne) neexistuje žádné známé řešení tohoto problému.

Celý postup, na jehož konci je zablokovaný účet, je banálně jednoduchý. Začíná tím, že si útočník nainstaluje aplikaci WhatsApp na svůj telefon. Po prvním spuštění je požádán o zadání telefonního čísla, kde uvede číslo spojené s účtem, který chce pozastavit.



Útočník může zadat jakékoli telefonní číslo

Slabina dvoufaktorového ověření

Provozovatel ověřuje přihlášení do aplikace zasláním SMS s číselným kódem. Zpráva jde na telefon majitele účtu. Když pak útočník několikrát neúspěšně zadá kód, je daný účet na 12 hodin zablokován.

Útok ale nekončí. Stačí poslat e-mail na podporu WhatsAppu, ve kterém útočník uvede, že jeho (ve skutečnosti váš) telefon byl odcizen nebo ztracen a požádá o deaktivaci účtu. WhatsApp účet zablokuje.

S postupem útoku přišli bezpečnostní experti Luis Márquez Carpintero a Ernesto Canales Pereña, informoval o něm Forbes. V podstatě jde spíše o nepříjemnost, ale pro řadu lidí značnou, protože mají WhatsApp jako primární komunikační nástroj.

Data zůstanou v bezpečí

Je alarmující, jak snadno lze tuto mezeru zneužít, ale alespoň trochu pozitivní skutečností je, že útočník tímto způsobem nezíská přístup k účtu, textovým zprávám ani kontaktům. Jediné, čeho lze touto cestou dosáhnout, je zablokování přístupu legitimního vlastníka účtu.

Aktuálně nic nenasvědčuje tomu, že by byl tento nedostatek aktivně zneužíván ve větším měřítku. S rostoucí publicitou lze pochopitelně předpokládat, že výše uvedený postup vyzkoušejí nejrůznější experimentátoři a zvědavci. Nelze vyloučit ani zneužití se zlým úmyslem.

Banálně hloupá chyba

WhatsApp varuje, že případné využití této chyby zabezpečení je porušením podmínek jeho služby. To však není příliš odstrašující argument, neboť uvedený útok lze provést anonymně s jakýmkoli mobilním telefonem a jednorázovým e-mailem.



SMS z WhatsAppu neposkytuje možnost reakce

V tomto případě je očividných několik nedostatků. Tím prvním je nemožnost oběti reagovat na příchozí SMS s verifikačním kódem. Na telefon se zadaným číslem přichází pouze kód, ale není zde žádná možnost, jak reagovat v případě, kdy uživatel o ověření nežádal.

Další slabinou je blokování účtů na základě požadavku vzneseného e-mailem na podporu. WhatsApp požaduje při registraci pouze telefonní číslo a nezná e-mailové adresy svých uživatelů. Prakticky kdokoli tak může tvrdit, že je majitelem telefonu s uvedeným číslem, aniž by byla možnost to jakkoli ověřit.

Komentář odborníka

O komentář ke zranitelnosti jsme požádali Mgr. Filipa Filipoviče, který ve společnosti OKsystem vede vývoj aplikace BabelApp (komunikační platforma s vyšším levelem zabezpečení, psali jsme zde):

Nejprve musím říct, že nechápu, proč vůbec WhatsApp reaguje na něco, jako je emailová žádost. Tím spíš v situaci, kdy nemá spojené emailové kontakty s uživatelskými účty. Vím, že obdržet nějakou lidskou reakci z podpory Facebooku (vč. WhatsApp a Instagramu) se málem rovná zázraku, tak i v této rovině by žádná akce ze strany poskytovatele vůči účtu neměla proběhnout.

Co se týká podstaty této chyby, neřešil bych to dočasnou blokací účtu, ale spíše nemožností útočníka pokračovat v postupu. Tzn., že po zadání např. 5 chybných PIN bych neumožnil zaslání dalších po dobu např. 12 hodin. Nejsem si ale vůbec jistý technickým aspektem. S největší pravděpodobností jim to bude provozovat třetí strana, stejně jako verifikaci nových uživatelů pro Signal (což je z mého pohledu na pováženou).

Ideální je SMS interakce s majitelem účtu, ale mělo by na ni jít reagovat, tzn. že by odpověď verifikovala majitele. Provést se do dá třeba unikátním odkazem na webové rozrhaní, kde uživatel potvrdí SMAZAT/BLOKOVAT/NEREAGOVAT.