Специалист по кибербезопасности Джейк Мур обнаружил серьезную уязвимость в WhatsApp, позволяющую деактивировать аккаунт в мессенджере простым письмом на электронную почту разработчиков. Об этом он заявил на своей странице в Twitter.
Мур обнаружил, что любой аккаунт в WhatsApp может быть деактивирован с помощью электронного письма, отправленного в службу поддержки WhatsApp с соответствующей просьбой. Разработчики мессенджера не разбираются, является ли автор письма владельцем аккаунта, и просто отключают профиль от устройства. После этого пользователь не будет получать никаких сообщений, пока не запустит приложение и не войдет в свой аккаунт снова. Данная процедура применяется в случае утери смартфона, на котором был установлен WhatsApp.
При этом деактивация аккаунта не означает его полное удаление — профиль и переписка сохраняются на серверах WhatsApp в течение 30 дней. Если пользователь не войдет свой аккаунт в течение этого срока, то он будет удален окончательно. Для восстановления доступа к аккаунту WhatsApp пользователю нужно запустить приложение и ввести свой номер телефона. На него придет код подтверждения, который нужно ввести в приложении. После этого аккаунт и переписка будут доступны снова.
Такая уязвимость может быть использована злоумышленниками для проведения атак типа “отказ в обслуживании”. Таким образом они могут лишить пользователя доступа к своему аккаунту и переписке.
В WhatsApp пока никак не прокомментировали обнаруженную уязвимость и не сообщили о возможных мерах по ее устранению.
Ранее россиян предупредили о необычном способе кражи личных данных через принтеры.