攻击者现在可以远程停用手机上的WhatsApp

2021-04-11 19:34:33

今天对于Whatsapp的20亿用户来说,这是一个令人讨厌的新惊喜,发现了惊人的安全风险。只需使用您的电话号码,远程攻击者可以轻松地停用手机上的WhatsApp,然后停止您收到。即使是双因素身份验证也不会停止。这是攻击的作品。

这应该是' t发生。它应该是可能的。没有2亿人使用的平台。不是那么容易。当研究人员来说,路易斯马克萨克克里奥托和塞尔斯托运河Pereña时,警告他们可以在手机上杀死WhatsApp,阻止我从我自己的帐户中使用我的电话号码,我怀疑。但他们是对的。

“这是另一个令人担忧的黑客,”ESET的杰克摩尔警告说:“可能会影响数百万用户可能会攻击这种攻击的人。对于这么多人依赖WhatsApp作为社会和工作目的的主要通信工具,它会在很容易发生的情况下令人震惊。“

尽管其庞大的用户群,WhatsApp正在接缝处吱吱作响。其架构落后于其竞争对手,缺少多设备访问和完全加密备份等关键功能。随着世界上最受欢迎的信使专注于强制新的服务条款来启用Facebook的最新赚钱计划,这些需要的这些急需进步仍然是“发展中的”。

然后我们有帐户劫持的祸害。月后月份,我们看到关于各种诈骗的警告,其中用户被欺骗放弃发送以激活新的WhatsApp安装的六位数的SMS代码。一旦账户被劫持,它可能会耗时和痛苦地恢复。我们甚至看到关于导致其他账户被阻止的劫持账户的故事。

在WhatsApp的公平性上,帐户劫持需要用户错误。简而言之,您不得向任何人发送任何六位数的代码发送到您的手机。它几乎肯定是一个骗局,它将导致你的一个帐户被接管。 WhatsApp似乎受到此问题的比其他问题更多,并且应该真正授权双因素身份验证(2FA)或开发可信设备架构,类似于Google和Apple。

具有讽刺意味的是,甚至WhatsApp的双因素身份验证也不会阻止攻击此最新警告。这对任何犯规这一点的用户来说是一个真正的问题,因为即使他们遵循了所有的安全建议,它也无济于事。

这种新披露的安全漏洞涉及两个单独的WhatsApp处理 - 这两者都具有基本的弱点。这是那些可以取消激活您的WhatsApp并停止您的弱点的组合。

当您首次在手机上安装WhatsApp或更改电话时,平台将向您发送短信代码以验证该帐户。输入合适的代码后,该应用程序将要求您的2FA号码以确保您真的,那么您就在。

现在,让我们从第一个弱点开始。任何人都可以在手机上安装WhatsApp并在验证屏幕上输入您的号码。然后,您将收到文本并使用六位数代码从WhatsApp调用。您还将看到WhatsApp应用程序通知,告诉您已请求代码,警告您不共享。

攻击者可以使用您的WhatsApp电话号码进行此操作,同时继续使用您的应用程序正常。他们请求重复的代码,并在其应用中输入错误的猜测。您还将收到SMS代码,也许是呼叫,但您可以与他们做任何事情,无处可去进入这些代码。所以,你忽略了这一切。

问题是WhatsApp的验证过程限制了可以发送的代码的数量。经过几次尝试,攻击者的WhatsApp会说:“12小时重新发送短信/打电话给我”,因此没有可以生成新的代码。 WhatsApp还在应用程序上拨打了代码条目,经过多次尝试,告诉攻击者“您猜到了太多时间......在12小时内再次尝试。”

因此,虽然手机上的WhatsApp继续正常运行,但攻击者已阻止任何新代码发送或从被输入到验证屏幕中。一切都依赖于12小时的计时器,这是倒计时的。

这一切都不应该是你的问题。除非您在手机上停用WhatsApp并需要崇高,否则没有问题。所以,到弱点二。

攻击者现在注册了一个新的新鲜电子邮件地址,Gmail将进行,并发送电子邮件至[email protected]。丢失/被盗帐户,电子邮件说,请停用我的号码。攻击者包括您的号码。 WhatsApp可能会发送自动电子邮件回复询问号码,攻击者符合。

所以,非常清楚。 WhatsApp已收到一封引用您的电话号码的电子邮件。他们没有办法了解这是否真的来自你。没有后续问题可以确认您对该号码的所有权。但是已经触发了自动化过程,没有您的知识,您的帐户现在将被停用。

一个小时左右,突然间的WhatsApp停止在手机上工作,你看到一个闹剧通知:“你的电话号码不再在这款手机上使用Whatsapp注册,”它说。 “这可能是因为你在另一个电话上注册了它。如果您没有这样做,请验证您的电话号码以登录您的帐户。“此停用似乎是自动化的,使用关键字触发操作。

即使您在WhatsApp帐户上有2FA,也会发生这种情况。但是,即便如此,这仍然应该是一个问题。您只需要请求代码并重新注册您的帐户。

您已停用WhatsApp要求您的电话号码向您发送代码。您输入并确认您的号码。但没有文本到达。 “你最近试图注册[你的号码],”这个应用程序告诉你。 “在请求短信或呼叫之前等待。”

等等,什么?你没有要求任何东西。但您的手机现在受到与攻击者相同的倒计时。您无法要求新的代码进行那些12小时的余额。当然,你不知道这一切,你完全困惑。

但突然间,您还记得您之前收到了意外的WhatsApp代码。您检索最新的SMS并将代码输入WhatsApp。但即使这也不工作。 “你猜到了太多次,”你的Whatsapp告诉你。显然,你还没有猜到过。但您的手机与攻击者具有与攻击者相同的限制。您无法请求新代码,您无法输入上一个代码,您将被卡住。

此时倒计时可能读取10到11小时。如果攻击在此停止,您将能够在12小时计时器已过期后使用新的六位数代码验证新的SMS并验证您的帐户。但是有一个令人讨厌的扭曲。

攻击者不需要在前12小时倒计时发送WhatsApp,而是可以等待然后重复该过程。您将收到更多的文本,但您仍然没有任何内容,尽管你会怀疑有些问题是错误的。

如果攻击者这样做,那么在第三个12小时周期上,WhatsApp似乎会分解。 “你猜到了太多次,”他们的应用程序会说,“在-1秒后再试一次。”攻击者没有办法要求或进入新代码,没有倒计时,而不是说“12小时”它说“-1秒”。它停滞不前。

但遗憾的是,您的手机与攻击者相同的方式对待 - 等等,如果攻击者在通过电子邮件给WhatsApp支持之前等待到停止您的号码之前,则无法在您被扣除时重新登范手机上的WhersApp你的应用程序。 “现在为时已晚,”研究人员告诉我。您需要联系WhatsApp并尝试找到可以提供帮助的人。

即使攻击者在第一次循环期间停用手机,如果在获得机会之前,他们可以将您的第二小时倒计时推入第二个12小时的倒计时,并在您获得机会之前在第一个倒计时到期的代码。请记住,他们看到与您相同的计时器。

显然,该验证架构的组合,SMS /代码限制以及由传入电子邮件触发的基于基于关键字的动作的组合是滥用的。这种攻击没有复杂 - 这是这里的真正问题,而whatsapp应该立即解决。阻止他们从他们的前往信使阻止某人可能是有利的,有很多原因。它不应该这么容易。如果启用了2FA,这应该不起作用,就像这个“受害者”应用程序的情况一样。

这并不复杂,应该很容易地修复。 WhatsApp可以确保使用2FA注册的设备上的应用程序可以防止此问题,使用2FA作为断路器。甚至更简单的是,当多设备访问最终出现时,WhatsApp可以使用可信设备概念启用一个验证的应用来验证另一个应用程序。这是一个更好的系统,并会关闭此漏洞。

据摩尔称,这个漏洞已经标记了另一个严重的WhatsApp问题。 “没有办法在Whatsapp上发现,”他警告道。 “如果存在任何人可以输入电话号码以找到关联帐户。理想情况下,朝着更具隐私的举动,专注将有助于保护用户免受这一点,以及强迫人们实现两步验证PIN。“

具有讽刺意味的是,此问题涉及给定的安全消息传递仅与电话号码相关联,操作“超过顶部”,没有后端链接到设备的操作系统或数字。逻辑表明该应用程序可以验证电话号码本身 - WhatsApp是否承认在其隐私政策中收集设备信息。

为了追溯到本揭露,WhatsApp发言人告诉我,“通过两步验证提供电子邮件地址,有助于我们的客户服务团队协助人们应该遇到这种不太可能的问题。本研究人员确定的情况将违反我们的服务条款,我们鼓励任何需要帮助电子邮件的人提供电子邮件,以便我们可以调查。“

他们的意思是,如果你要进行这次攻击,你会违反他们的服务条款,并会面临后果。这没有任何受害者,而是应该作为警告,不要试验这种脆弱性。

Whatsapp不会确认它计划解决此漏洞,尽管它可以很容易和匿名剥削。他们的回应是发挥风险 - 但风险非常真实。除了滋扰因素之外,有一些人的优势在服用“关联”。因此,鉴于WhatsApp的广泛使用,这是一种需要插入的安全缺口。攻击者甚至不需要一个电话号码来欺骗新安装,这是一个通过WiFi连接的设备将正常工作。

不幸的是,击败安全风险的严重性已成为Facebook的内部风格。在2019年回到2019年,我报告了一种允许在使用自动机器人的比例下从Facebook数据库中释放私人用户电话号码的漏洞。那个黑客被Facebook承认但被视为“不太可能的问题”。约有53300万用户现在可能不同意。

那你该怎么办?您需要启用2FA以防止实际帐户劫持,并且值得在此情况下帮助提供电子邮件地址,以便在此发生这种情况。与此同时,注意有人要求验证代码的警告,如果坚持,您应该立即联系WhatsApp支持。

当然,您的其他选项将遵循Mark Zuckerberg的报告示例并开始使用信号。 隐私第一是关于WhatsApp最可行的替代品,是由Whatsapp联合创始人Brian Acton提供的讽刺作品。 我仍然希望Whatsapp会改变其立场,并将解决这个漏洞 - 如果发生这种漏洞,我会更新这个故事。