Falha no WhatsApp permite que contas sejam bloqueadas

a possibilidade de bloquear o acesso ao aplicativo apenas por meio de um número de telefone e sem exigir nenhuma ação do usuário

ESET alerta sobre a possibilidade de bloquear o acesso ao aplicativo apenas por meio de um número de telefone e sem exigir nenhuma ação do usuário

ESET, empresa líder em detecção proativa de ameaças, alerta os usuários do WhatsApp sobre um possível ataque ao qual os cibercriminosos podem recorrer e por meio do qual podem suspender contas usando apenas o número de telefone dos usuários.

Siga nosso stories no Instagram é receba em primeira mão notícias como essa!

O golpe ocorre da seguinte maneira: ao configurar uma conta WhatsApp pela primeira vez em um dispositivo, o número de telefone é solicitado para enviar um código de verificação. Assim que o código é inserido, a chave do duplo fator de autenticação (2FA) é solicitada para confirmar a identidade do usuário. Esse ataque específico se aproveita de um lapso na segurança de dois processos independentes do WhatsApp.

No entanto, não há como impedir que alguém use qualquer número no processo de verificação. Se um invasor fizer isso, o usuário receberá chamadas e mensagens do WhatsApp com um código de verificação, junto com uma notificação solicitando que não compartilhe o código de registro com ninguém. O cibercriminoso pode fazer isso repetidamente e o usuário pode não prestar atenção às mensagens, considerando que é um erro.

Participe do nosso grupo no Telegram ou Whatsapp!

Essas solicitações acabam por acionar o limite do WhatsApp para o número de vezes que os códigos podem ser enviados e também faz com que o código seja bloqueado após várias tentativas mal sucedidas, em ambos os casos por 12 horas. Durante esse tempo, o aplicativo continuará a funcionar normalmente, mas o invasor terá bloqueado a capacidade de enviar um novo código ou inseri-lo na tela de verificação. Portanto, o tempo de inatividade pode não afetar o usuário, a menos que ele efetue logout durante esse período.

O invasor pode, então, criar um novo endereço de e-mail e enviar uma mensagem para a equipe de suporte do WhatsApp com o assunto “telefone perdido/roubado”, solicitando a desativação do número do usuário. A plataforma, aparentemente, irá verificar a “identidade” apenas enviando um e-mail automático solicitando o número de telefone do usuário; assim, o atacante se faz passar pela identidade do usuário legítimo.

Desta forma, o WhatsApp irá desativar a conta e, com o limite de tentativas de verificação ultrapassado, o usuário não poderá fazer login até 12 horas depois e o código de verificação precisa ser solicitado novamente.

Infelizmente, se o invasor não parar e decidir repetir esse processo três vezes consecutivas que aciona o bloqueio de 12 horas, o WhatsApp passará por uma falha e exibirá uma mensagem dizendo “tente novamente após -1 segundo”. Os pesquisadores alertam que, se o invasor chegar a esse ponto, não haverá como o usuário recuperar a conta a menos que encontre alguém no WhatsApp disposto a ajudar.

Siga o tecflow no Google News e veja artigos como este! 

Em declarações à revista Forbes, um porta-voz do WhatsApp disse que “fornecer um endereço de e-mail e duplo fator de autenticação ajudará nossa equipe de atendimento ao cliente a ajudar as pessoas caso encontrem esse problema. As circunstâncias identificadas por este investigador violariam nossos termos de serviço e encorajamos qualquer pessoa que precise de ajuda a enviar um e-mail para nossa equipe de suporte para que possamos investigar”.

O problema chamou a atenção do especialista em segurança da ESET Jake Moore, que recentemente mostrou como alguém pode assumir o controle de sua conta do WhatsApp apenas sabendo seu número de telefone. Moore advertiu que a nova falha deve ser levada a sério, especialmente porque pode afetar milhões de pessoas e é fácil de ser feita.

“Não há como optar por não ser descoberto no WhatsApp. Qualquer pessoa pode digitar um número de telefone para ver se há uma conta associada. Além disso, melhorar a privacidade ajudaria a proteger os usuários contra isso, além de forçar as pessoas a implementar um PIN de verificação em duas etapas”, acrescentou Moore.

Deixe seu comentário e faça como os mais de 2.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão!

Redação tecflow

Tecflow é um website focado em notícias sobre tecnologia com resenhas, artigos, tutoriais, podcasts, vídeos sobre tech, eletrônicos de consumo e mercado B2B.

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.

Mais acessados

Dicas e Tutoriais

SmartPhones & Tablets

Mercado & Tecnologia

Consoles e Games

Ciência & Espaço

Eventos

Quem Somos

Tecflow é um website focado em notícias sobre tecnologia com resenhas, artigos, tutoriais, podcasts, vídeos sobre tech, eletrônicos de consumo e mercado B2B.

Siga Tecflow em:

Parceiro Autthentic

error: Content is protected !!