その結果は危険というより迷惑なものですが、WhatsApp の 2 要素認証システムの新たな悪用により、攻撃者がさまざまな時間にわたってアカウントからユーザーをロックアウトすることが比較的簡単にできるようです。そして、この記事の執筆時点で、悪意のある攻撃者がそれを実行するために必要なのは、WhatsApp アカウントに関連付けられている電話番号を知ることだけです。それでおしまい。
攻撃自体は非常に簡単に実行できます。としてアンドロイド警察説明:
この新たに発見された欠陥は 2 つの別々のベクトルを使用しています。攻撃者は新しいデバイスに WhatsApp をインストールし、番号を入力してチャット サービスをアクティブにします。もちろん、彼らはそれを検証することはできません。
代わりに、2 要素認証システムがログイン プロンプトを携帯電話に送信します。試行を複数回繰り返して失敗すると、ログインは 12 時間ロックされます。
ここで注意が必要な部分が発生します。アカウントがロックされている状態で、攻撃者は電子メール アドレスから WhatsApp にサポート メッセージを送信し、携帯電話が紛失または盗難に遭ったため、あなたの番号に関連付けられたアカウントを復元する必要があると主張します。非アクティブ化されました。 WhatsApp は返信メールでこれを「確認」し、ユーザー側での入力なしでアカウントを一時停止します。攻撃者はこのプロセスを数回連続して繰り返し、アカウントに半永久的なロックを作成する可能性があります。
ここでの希望の兆しは、その攻撃が実際には次の目的に使用できないことです。侵入するアカウントを一定期間 (攻撃者が本当に献身的な場合は永久に) 使用不能にすることで、単にユーザーを怒らせるだけです。
WhatsAppの担当者が語ったフォーブスこの種の攻撃から身を守る最も簡単な方法は、攻撃者があなたの ID を偽装できないように、電子メール アドレスを 2 段階認証プロセスに関連付けていることを確認することです。引き上げれば今すぐそれを行うことができますワッツアップ、それをロードします設定をタップします2段階認証、電子メール アドレスを入力します (または、すでに入力済みであることを確認します)。
これによって攻撃自体がブロックされるわけではありませんが、「アカウントの認証が妨げられている」というフィードバック ループに陥った場合に、WhatsApp のカスタマー サービス チームがサポートしやすくなります。攻撃者があなたを装って WhatsApp にアクセスし、次のように主張した場合に起こります。あなたのアカウントがハッキングされているため、WhatsApp を無効化する必要があります。 (その後、間違った登録解除を元に戻すためのコードを「受信」します。ただし、以前のトリックにより、間違った 2FA コードを入力しすぎたために一時的に禁止されてしまうため、コードを入力することはできません。)
フォーブスのザック・ドフマンは次のように書いています。
これは複雑ではないので、簡単に修正できるはずです。 WhatsApp は、2FA が登録されているデバイス上のアプリが 2FA をサーキット ブレーカーとして使用して、この問題を確実に防止できるようにすることができます。さらに単純に言えば、最終的にマルチデバイス アクセスが登場すると、WhatsApp は信頼できるデバイスの概念を使用して、1 つの検証済みアプリが別の検証済みアプリを検証できるようにする可能性があります。これははるかに優れたシステムであり、この脆弱性をシャットダウンします。
私は、WhatsApp がこの問題を調査し、この種のドライブバイスタイル攻撃を無効にするために 2fA 検証プロセス (またはアカウント無効化プロセス) を修正することを期待しています。それまでの間は、次の使用を検討してください。まったく異なる WhatsApp 番号可能であれば、ロックアウトされるリスクを最小限に抑えるために。
