WhatsApp-sovelluksesta on löytynyt uusi heikkous, jota hyödyntämällä hyökkääjä voi tehdä iskun kohteeksi joutuneen henkilön tilin käyttökelvottomaksi, Forbes kirjoittaa. Haavoittuvuuden huomasivat kyberturvallisuustukijat Luis Márquez Carpintero ja Ernesto Canales Pereña.

Tätä ennen Suomessa on esiintynyt WhatsApp-tilien kaappauksia, joissa saastuneita käyttäjätilejä käytetään uusien käyttäjätietojen kalasteluun.

Vasta paljastunut haavoittuvuus on herättänyt huolta, sillä hyökkääjä tarvitsee iskun toteuttamiseksi ainoastaan kohteensa puhelinnumeron. Toisekseen koko prosessi sujuu ilman mitään kontaktia uhriin. Hyvä uutinen on se, ettei konna pääse missään vaiheessa käsiksi tilin tietoihin tai muihin sisältöihin.

Iskun periaate on pelottavan yksinkertainen. Tekijä yrittää kirjautua uhrin tilille uudella puhelimella. Tätä varten hyökkääjä tarvitsee kohteensa puhelinnumeron.

Kirjautumisyrityksestä ei kuitenkaan tule mitään, sillä käyttöönottoa varten tilin omistajan on varmennettava kirjautuminen tekstiviestillä saapunen varmennekoodin avulla. Luonnollisesti tämä koodi saapuu uhrille, eikä hyökkääjällä ole siihen pääsyä.

Tarpeeksi monen epäonnistuneen yrityksen päätteeksi tili lukitaan 12 tunnin ajaksi.

Tämän jälkeen hyökkääjä lähettää omalta sähköpostitililtään WhatsApp-sovelluksen käyttötukeen ilmoituksen, jossa hän esiintyy uhrina ja valehtelee puhelimensa kadonneen. Hyökkääjä vaatii, että ”kadonneen puhelimen” puhelinnumero kuoletetaan palvelusta.

Toisin sanoen uhri saa ensin joukon kirjautumisviestejä, minkä jälkeen hänen tilinsä yllättäen suljetaan ilman mitään selitystä. Vaikka tiliin yhdistetty puhelinnumero otettaisiin jälleen käyttöön palvelussa, hyökkääjä voi toistaa prosessin uudestaan.

Haavoittuvuudesta kuultuaan WhatsApp kehotti käyttäjiä liittämään sähköpostiosoitteen mukaan kaksivaiheiseen tunnistautumiseen. Näin hyökkääjän käyttämä tekaistu sähköpostiosoite huomataan helpommin.