La colpa è di due vulnerabilità nel sistema di sicurezza del tuo account di whatsapp.

Secondo Forbes, gli aggressori hanno escogitato un nuovo modo per peggiorare la vita degli utenti di WhatsApp. Tutto quello che devono fare è conoscere il tuo numero di telefono - e anche l'autenticazione a due fattori non farà male.

Funziona così. Un aggressore installa WhatsApp sul suo smartphone e inserisce il tuo numero. Per autenticarsi, il suo account di whatsapp chiede un codice - che arriva sul tuo telefono, ma tu lo ignori perché non l'hai chiesto e pensi che sia un errore. Il problema è che ottenere il codice non era nemmeno l'obiettivo.

Richiesta di codici sul telefono di un intruso / Forbes

L'attaccante inserisce codici casuali di volta in volta senza nemmeno provare ad indovinare quello giusto. Dopo diversi tentativi falliti, il sistema blocca l'invio di nuovi codici per 12 ore. Così, hai il tuo account di whatsapp che funziona normalmente, ma l'invio dei codici di autorizzazione è sospeso. Teoricamente, questo non sarebbe un problema se non hai bisogno di riverificare durante questo periodo.

Ma poi lo stesso attaccante crea una nuova email e scrive al supporto tecnico che il suo telefono con il numero [il tuo numero] è stato rubato e chiede di disattivare l'account associato. Il supporto tecnico non controlla se il numero appartiene a lui e disattiva l'account.

È solo a questo punto che l'utente inizia ad avere problemi: appare un messaggio che dice che il numero di telefono non è registrato in WhatsApp. Puoi inviare un codice di verifica per provare ad accedere al tuo account. Ma il sistema avverte che hai fatto troppi tentativi di entrare senza successo e devi aspettare 12 ore. Inserire i codici che ti sono arrivati prima non funziona.

Tentare di inserire un codice da un messaggio sul dispositivo interessato / Forbes

Se sei stato solo vittima di un brutto scherzo, dopo 12 ore puoi riavere il tuo accesso. Ma l'attaccante potrebbe non inviare la richiesta al supporto tecnico, ma invece ripetere il processo di richiesta dei codici quando il timer scade. Alla terza volta (cioè dopo 24 ore dal primo attacco), il sistema si blocca: il timer non mostra 12 ore, ma -1 secondo - e su entrambi gli smartphone. È impossibile ripararlo.

Telefono dell'aggressore e telefono della vittima / Forbes

Se poi mandi una richiesta al supporto tecnico, l'account viene disattivato senza possibilità di recupero perché il timer è rotto. Questo è il peggiore scenario possibile.

Come è possibile?

La ragione è semplice: infatti, l'account di whatsapp è legato solo al numero di telefono e non confronta il sistema operativo e il numero di identificazione del dispositivo. Inoltre, gli utenti stessi non hanno alcuna protezione dagli estranei: se inserisci il numero di qualcuno nel messenger e un account è collegato a quel numero, verrà visualizzato. Non puoi limitare la visibilità del tuo account.

Quindi, scoprire chi è registrato su WhatsApp non è difficile. Allo stesso tempo, i numeri di telefono degli utenti appaiono regolarmente nelle fughe di notizie - come la recente fuga di dati massiccia di Facebook.

Risolvere entrambi i problemi non è difficile: basta dare agli utenti l'opzione di nascondere il loro account dalla ricerca e aggiungere un modo per identificarsi quando si accede da un nuovo dispositivo: per esempio, confermare attraverso un gadget già autorizzato nel sistema.

Cosa fare se cercano di bloccare l'account?

I rappresentanti di WhatsApp hanno detto che le vittime di tali attacchi dovrebbero contattare il supporto tecnico: tali azioni sono contrarie alle regole di utilizzo della piattaforma. Dovresti farlo non appena noti un SMS con i codici di accesso a WhatsApp che non hai richiesto.

Hanno anche consigliato di collegare un'email all'account per ripristinare l'accesso più facilmente. Non ci sono state dichiarazioni sui miglioramenti della sicurezza in modo che un estraneo non possa bloccarti da messenger.