Diari Més

Telefonia

Alerta per una fallada que et bloqueja WhatsApp només sabent el teu número de telèfon

Aquest s'aprofita de dues vulnerabilitats ja conegudes de l'app per a bloquejar el compte  

Cada dia se sumen nous continguts a la base de dades.

La nova eina de WhatsApp per comprovar les notícies falses sobre el coronavirusEfe

Publicat per

Creat:

Actualitzat:

L'aplicació WhatsApp conté una nova fallada de seguretat que permet alsciberdelinqüents bloquejar el compte de qualsevol usuari només coneixent el seu número de telèfon.

La vulnerabilitat afectaria fins i tot els usuaris que tinguin activat el sistema d'autenticació de doble factor per augmentar la seguretat.

La fallada es deu a dos processos independents a WhatsApp que, utilitzats per uncibercriminal, li permeten bloquejar un compte i evitar que el propietari pugui tornar a accedir a ell.

En el primer, elsciberdelinqüents introdueixen el número de telèfon de la víctima en l'aplicació de missatgeria i aquesta li demana un codi de verificació. La víctima opta per no fer cas al missatge, ja que no ha sol·licitat cap codi. En introduir una clauerróniadiverses vegades, l'app permet enviar un codi nou al cap de 12 hores, que bloqueja la introducció de codis de seguretat mentrestant.

Respecte la segona la vulnerabilitat, elscibercriminalsenvien un missatge de correu electrònic al suport de WhatsApp, avisant d'un suposat robatori del telèfon i demanant que el compte sigui desactivat. En aquest procés només es requereix confirmar el número de telèfon associat al compte.

Moment en què WhatsApp comença el procés per a desactivar el compte de l'usuari, i la víctima rep una notificació per avisar-lo que el seu número de telèfon ja no està associat al compte. Quan s'intenta restablir i s'introdueix el número de telèfon, WhatsApp no envia nou codi per SMS i avisa que és necessari esperar dotze hores per haver-se realitzat massa sol·licituds abans.

Transcorregudes les dotze hores, WhatsApp avisa que queden «-1 segons» per a poder generar una nova clau SMS, missatge d'error es mostra tant a la víctima com a l'atacant.

D'aquesta manera, el compte de l'usuari queda bloquejat de manera permanent i la víctima ja només podrà reactivar-la si contacta directament amb el suport de WhatsApp perquè revisi el cas manualment.

tracking