Zilele trecute scriam despre un hack WhatsApp care putea fura conturi foarte uşor, cu doar o apăsare pe un link. Acum aflăm că apare o altă problemă, care îi afectează şi pe cei care au autentificare two factor. Cei de la Forbes scriu ca un proces complex le permite acum hackerilor să declanşeze un lanţ de evenimente care blochează contul utilizatorilor.
Nu sunt folosite tool-uri complexe sau metode complicate de hacking, ci e clasica combinaţie de răbdare + brute force. Există totuşi breşe în WhatsApp care facilitează aceste vulnerabilităţi. Să vă explic: dacă un hacker îţi cunoaşte numărul de telefon asociat contului WhatsApp, el poate încerca să îl activeze pe propriul telefon. Evident, va eşua din cauza autentificării two factor. Ce poate hackerul să facă este să activeze limita de încercări greşite, ceea ce îţi va interzice să activezi contul WhatsApp pe un telefon nou timp de 12 ore.
Aici apare un bug, care după a treia perioada de 12 ore cauzează un blocaj pe termen nedeterminat al contului tău şi al tuturor încercărilor de logare. În acea perioadă hackerul poate trimite un mail la WhatsApp, cerând ca numărul asociat contului să fie complet dezactivat. Atunci i se cere iar să se logheze în cont, dar nu mai poate din cauza blocajului infinit şi uite aşa începe o buclă a erorilor.
WhatsApp afirmă că situaţia nu e gravă şi că persoanele afectate pot lua legătura cu reprezentanţii săi pe partea de suport. Ar fi totuşi mai util ca un exploit aşa banal să fie rezolvat. E drept că nici hackerii nu se omoară cu dezactivarea conturilor, lucru care nu le foloseşte la nimic, ei preferând un takeover sau ransomware. E mai degrabă o mantocareală pentru un iubit gelos care blochează contul fostei.
