Nachrichten

Mit diesem WhatsApp-Fehler können Angreifer Benutzerkonten dauerhaft aus der Ferne deaktivieren

Obwohl WhatsApp eine der beliebtesten Messaging-Plattformen ist, hat die App kürzlich Benutzer mit mehreren Problemen gefährdet, einschließlich der Aktualisierung der Datenschutzrichtlinien. Wir haben kürzlich einen bösen Betrug auf WhatsApp gesehen, der es den Kontakten eines Benutzers ermöglicht, sie zu hacken. Jetzt ist eine tödlichere Sicherheitsanfälligkeit bekannt geworden, die das WhatsApp-Überprüfungssystem verwendet, um Hackern die dauerhafte Deaktivierung eines Benutzerkontos zu ermöglichen.

Sicherheitslücken im Benutzerüberprüfungssystem von WhatsApp

Entdeckt von den Sicherheitsforschern Luis Marquez Carpintero und Ernesto Canales Perena und ans Licht gebracht durch ForbesDieser neue Hack kann für WhatsApp-Benutzer tödlich sein, da er einen ziemlich einfachen, wenn auch langwierigen Prozess beinhaltet. Darüber hinaus kann jeder mit Ihrer Telefonnummer den Vorgang remote ausführen. Was gefährlicher ist, ist das Selbst die Zwei-Faktor-Authentifizierung (2FA) kann Ihr Konto nicht speichern von der Deaktivierung.

Wie funktioniert es?

Der neue Hack zur Deaktivierung von Remotekonten verwendet Sicherheitslücken in zwei der ID-Überprüfungsarchitekturen von WhatsApp. Der erste beinhaltet den Anmeldevorgang über OTP der Plattform und der zweite befindet sich im Timer, den die Plattform nach mehreren fehlgeschlagenen Anmeldeversuchen automatisch einstellt.

Dabei kann ein Angreifer, der Ihre Telefonnummer kennt, zunächst Ihre Nummer auf dem Anmeldebildschirm von WhatsApp eingeben. Denken Sie jetzt daran, dass Sie, während der Angreifer seine ersten Aktionen ausführt, nur teilweise betroffen sind, die Plattform jedoch wie gewohnt verwenden können. Sie erhalten jedoch mehrere Anmeldecodes per SMS, da der Angreifer jetzt zufällige Codes in den Anmeldevorgang einfügt, um die zweite Phase des Vorgangs einzuleiten.

In der zweiten Phase setzt WhatsApp nach mehreren fehlgeschlagenen Anmeldeversuchen Ihrer Nummer einen 12-Stunden-Timer ein, der das System daran hindert, neue Anmeldecodes für den angegebenen Zeitraum zu generieren. Jetzt kann der Angreifer eine gefälschte E-Mail-Adresse verwenden, um eine Anfrage zur Deaktivierung des Kontos an [email protected] zu senden und Ihr Konto zu deaktivieren. Zu diesem Zeitpunkt hat WhatsApp mehrere fehlgeschlagene Anmeldeversuche für Ihr Konto festgestellt und eine Anforderung zur Deaktivierung des Kontos für das mit Ihrer Telefonnummer verknüpfte Konto erhalten.

Mit dem WhatsApp-Hack können Angreifer Benutzerkonten deaktivieren
Bild: Forbes

Etwa eine Stunde später werden Sie automatisch aus Ihrem Konto geworfen und erhalten von WhatsApp eine E-Mail zur Deaktivierung des Kontos. Das Lustige ist nun, dass Sie dies tun müssen, wenn Sie versuchen, Ihr Konto erneut zu registrieren Geben Sie das von WhatsApp gesendete OTP ein. Dies ist derzeit jedoch nicht möglich, da es einen 12-Stunden-Timer gibt, der die Plattform einschränkt, um neue Anmeldecodes für Ihr Konto zu generieren. Dieser Timer ist für Sie und den Angreifer, der diese Situation erstellt hat, derselbe.

Mit dem WhatsApp-Hack können Angreifer Benutzerkonten deaktivieren
Bild: Forbes

Sie können also versuchen, Ihr Konto nach Ablauf der Zeit erneut zu registrieren. Wenn der Angreifer jedoch denselben Trick ausführt, bevor Sie sich erneut registrieren können, kann der Prozess in einer Schleife ablaufen.

Der Systemausfall

Jetzt kommt die zweite Schwäche in der Kernarchitektur von WhatsApp. Das automatisierte Sicherheitssystem bricht nach einer bestimmten Anzahl von Schleifen einfach ab. Wenn der Angreifer Ihr Konto zu diesem Zeitpunkt durch wiederholtes Befolgen des fehlgeschlagenen Anmeldevorgangs an einen Punkt schiebt, zeigt das System anstelle des 12-Stunden-Timers zum Generieren neuer Codes einen -1-Sekunden-Timer an. Dies bedeutet, dass die Das automatisierte Verifizierungssystem hat seine Grenzen erreicht und brach zusammen.

Mit dem WhatsApp-Hack können Angreifer Benutzerkonten deaktivieren
Bild: Forbes

Dank des kaputten Systems können Sie jetzt für eine Ewigkeit keine neuen Anmeldecodes für Ihre Telefonnummer generieren. Infolgedessen bleibt Ihr Konto für die nächsten 30 Tage deaktiviert. Anschließend löscht WhatsApp Ihr ​​Konto automatisch endgültig aus seiner Datenbank.

Dies ist zwar ein langwieriger Prozess, aber ziemlich einfach. Jeder mit einem Smartphone kann diese automatisierten Sicherheitslücken in WhatsApp nutzen, um Benutzerkonten remote zu deaktivieren.

Ist es reparabel?

Nach der Entdeckung der genannten Sicherheitslücken gaben die Sicherheitsforscher an, dass das Problem mit der Unterstützung mehrerer Geräte, an der WhatsApp bereits seit geraumer Zeit arbeitet, leicht behoben werden kann. Mit der Unterstützung mehrerer Geräte kann die Plattform das System vertrauenswürdiger Geräte ähnlich wie Apple verwenden, um die Geräte zu überprüfen, mit denen Benutzer auf ihre Konten zugreifen.

Derzeit gibt es jedoch keine Problemumgehung für diesen Prozess. Wenn Sie also in den kommenden Tagen zufällige Anmeldecodes von WhatsApp erhalten, wissen Sie, dass jemand versucht, Ihr Konto zu deaktivieren. Sie können sich an das WhatsApp-Support-Team wenden, um es vorab über die Situation zu informieren und Ihr Konto zu schützen. Verbreiten Sie die Nachrichten auch unter Ihren Freunden und Familienmitgliedern, um sie über diesen gefährlichen WhatsApp-Hack auf dem Laufenden zu halten.

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Schaltfläche "Zurück zum Anfang"