2021/04/16

WhatsApp pode ser desactivado por qualquer pessoa que saiba o número de telefone

Qualquer pessoa pode desactivar uma conta WhatsApp de outra pessoa, bastando saber o seu número de telefone - mas há forma de se protegerem contra essa eventualidade.

Os utilizadores do WhatsApp podem ser vítimas de uma forma de ataque "Denial of Service", já que há uma técnica que permite que qualquer pessoa possa suspender a conta de outra pessoa desde que saiba o seu número de telefone. O processo passa pelo atacante instalar o WhatsApp e proceder ao registo inicial, introduzindo o número de telefone da "vítima". Apesar de não ter forma de validar o número (já que os códigos serão enviados para o utilizador correcto), as tentativas repetidas e falhadas deste processo irão fazer com que a conta fique bloqueada por 12 horas. De seguida, com a conta bloqueada, o atacante contacta o WhatsApp a partir de um email temporário para se queixar de que a "sua conta" foi roubada, e quando o WhatsApp pedir a validação do pedido para o email do atacante, a conta ficará suspensa - sem que o utilizador legítimo tenha oportunidade de impedir este processo.

Sequência do ataque:

  1. Atacante tentar registar-se no WhatsApp com número de telefone da vítima
  2. Pede múltiplas tentativas de validação do número de telefone falhadas - causando um bloqueio temporário de 12 horas da conta
  3. Contacta o WhatsApp a partir de um email seu a reclamar que a conta foi roubada
  4. WhatsApp suspende a conta

Como se protegerem

Felizmente, há forma de evitar esta vertente de ataque, que passa pela activação da autenticação "Two-Step Verification" nos settings do WhatsApp. Para o fazerem será preciso criarem um código PIN de segurança e darem o vosso email. E a partir daí, qualquer pessoa que se tente registar com o vosso número de telefone teria também que adivinhar o vosso código PIN para conseguir avançar com o processo.

Cuidados adicionais

A utilização dos modos 2FA torna-se praticamente imprescindível nos dias de hoje, mas tenham em atenção os cuidados necessários para não se esquecer dos códigos adicionais ou ficarem sem o dispositivo que gere esses códigos; senão, a segurança adicional contra atacantes poderá também impossibilitar que até os legítimos utilizadores possam recuperar a sua conta.

Publicado por Carlos Martins às 12:00


Sem comentários:

Enviar um comentário (problemas a comentar?)

Subscrever: Enviar feedback (Atom)