Не делитесь своим кодом whatsapp ни с кем

Обновлено: 19.09.2024

В WhatsApp скрывается брешь, которая позволяет злоумышленникам с нулевыми навыками взлома и программирования навсегда заблокировать учетную запись любого пользователя, Им нужно знать лишь его номер телефона, и больше ничего, и защититься от потенциальной блокировки невозможно. Разработчики WhatsApp не спешат устранять проблему.

Новая брешь в WhatsApp

Каждый пользователь WhatsApp может в любую секунду лишиться своего профиля с минимальными шанса восстановление. Как пишет Forbes, защититься от этого попросту невозможно, и злоумышленнику даже не нужно будет взламывать гаджет – ему достаточно лишь знать номер телефона пользователя, после чего он может инициировать процедуру его блокировки без возможности повторной авторизации в системе.

Возможность лишить любого человека пользоваться WhatsApp – это следствие гигантской уязвимости, обнаруженной в мессенджере специалистами по информационной безопасности Луисом Картинтеро (Luis Carpintero) и Эрнесто Перенья (Ernesto Canales Pereña). Они уведомили разработчиков WhatsApp о своей находке, но те пока не выпустили патч, устраняющий брешь, тем самым оставив 2 млрд пользователей под угрозой потери аккаунта.

wapp600.jpg

WhatsApp никак не защищает пользователей от блокировки их профиля

Как работает уязвимость

Уязвимость в WhatsApp позволяет добиться полной блокировки аккаунта жертвы и осуществляется в два очень простых этапа, на каждом из которых исполнителю даже не потребуются навыки хакинга или социальной инженерии – он вообще не будет контактировать с владельцем профиля.

wapp601.jpg

На первом этапе злоумышленнику нужно просто установить WhatsApp на смартфон и попытаться залогиниться под нужным номером телефона. Мессенджер направит на него SMS с кодом подтверждения, и здесь идет расчет на то, что владелец номера будет игнорировать их. После нескольких таких попыток приложение на устройстве злоумышленника сообщит о слишком частых попытках авторизации и позволит произвести следующую лишь через 12 часов. При этом WhatsApp на устройстве жертвы пока продолжит работать, как и прежде.

wapp602.jpg

Уведомление о невозможности авторизации из-за чрезмерного количества попыток

wapp603.jpg

Письмо в техподдержку WhatsApp с просьбой о блокировке

wapp604.jpg

Ответ WhatsApp с подтверждением выполнения просьбы

Все это сработает, даже если пользователь активировал двухфакторную авторизацию. Попытка запросить новый код будет провалена – WhatsApp разрешит сделать это лишь через 12 часов.

Бонусный этап и полная блокировка

Если злоумышленник решит остановиться на втором этапе, то все закончится всего лишь невозможностью пользователю в течение нескольких часов подключиться к WhatsApp со своим номером. Максимум через 12 часов пользователь сможет восстановить контроль над своей учетной записью и продолжить работать в мессенджере ровно до тех пор, пока кто-нибудь не захочет повторить «трюк» с блокировкой.

Но на деле есть дополнительный, третий этап, приводящий к полной блокировки учетки.

Этот этап на деле может стать вторым – злоумышленнику вовсе не обязательно отправлять письмо в поддержку WhatsApp, он может просто подождать 12 часов, после чего вновь сделать несколько попыток зарегистрировать чужой номер в своем телефоне. После третьей по счету 12-часовой блокировки WhatsApp сломается, и вместо таймера, отсчитывающего время до следующей попытки авторизации он будет показывать «-1 секунду», притом постоянно. Это сбой в работе мессенджера, который невозможно обойти.

wapp605.jpg

Зависший таймер на телефонах жертвы (слева) и атакующего

Эта картина будет наблюдаться как на устройстве хакера, так и на смартфоне жертвы, и в итоге больше никто не сможет авторизоваться в мессенджере под этим номером телефона. Единственное, что останется – это пытаться связаться с техподдержкой WhatsApp и искать пути решения проблемы.

WhatsApp не решает проблему

Статья в Forbes, проливающая свет на новую проблему в WhatsApp была опубликована 10 апреля 2021 г. К 13 апреля 2021 г. разработчики так и не выпустили устраняющее ее обновление и не назначили сроки ее релиза.

Что будет, если в СДХ убрать семь из восьми контроллеров?


Вместо этого они занимаются подготовкой к внедрению новой политики конфиденциальности, согласно которой мессенджер будет автоматически передавать гигантские массивы персональных данных пользователей в Facebook для лучшего таргетинга рекламы.

Эту политику WhatsApp намеревался ввести еще 8 февраля 2021 г., но был вынужден временно отказаться от этой идеи из-за шквала критики. Новая дата вступления ее в силу – 15 мая 2021 г., и всем тем, кто не собирается соглашаться с ней, уготовано весьма серьезное наказание.

Другие проблемы WhatsApp

WhatsApp известен не только тем, что им пользуются миллиарды человек, но и тем, что своих пользователей он если и ценит, то далеко не всегда. Так, например, в июне 2020 г. стало известно, что некоторые номера телефонов, привязанных к пользовательским профилям в WhatsApp, в течение длительного времени находились в открытом доступе и даже попали в поисковую выдачу Google. В общей сложности при помощи Google можно было найти до номера около 300 тыс. пользователей мессенджера, и эта проблема носила глобальный характер.

wapp606.jpg

WhatsApp пока на первом месте по числу пользователей

В ноябре 2019 г. CNews сообщал, что пользователей WhatsApp стали автоматически навечно блокировать за участие в безобидных групповых чатах. Попасть под санкции оказалось возможным за смену названия чата на что-то, что покажется модераторам сервиса чем-то зловещим, незаконным или злонамеренным.

При этом WhatsApp совершенно не спешил устранять данный сбой. На все запросы пострадавших о причинах блокировки сотрудники мессенджера отвечали, что пользователи сами нарушили правила сервиса, и вина в блокировке лежит исключительно на них. В результате людям приходилось либо менять номер телефона для регистрации нового профиля, либо уходить в другие сервисы – Telegram, Viber, Signal и другие.

Как сообщает Forbes, злоумышленники придумали новый способ ухудшить жизнь пользователям мессенджера WhatsApp. Для этого достаточно всего лишь знать ваш номер телефона, и даже двухфакторная аутентификация не помешает.

Работает это так. Злоумышленник устанавливает на свой смартфон WhatsApp и вводит ваш номер. Для авторизации его мессенджер запрашивает код, который приходит на ваш телефон, но вы его игнорируете, потому что не запрашивали и думаете, что это ошибка. Проблема в том, что получение кода и не было целью.

Запрос кодов на телефоне злоумышленника / Forbes

Злоумышленник раз за разом вводит рандомные коды, даже не пытаясь угадать правильный. Через несколько неудачных попыток система блокирует отправку новых кодов на 12 часов. Таким образом, у вас мессенджер работает нормально, но отправка кодов авторизации приостановлена. Теоретически это не будет проблемой, если вам не потребуется за это время заново пройти верификацию.

Но дальше всё тот же злоумышленник создаёт новую электронную почту и пишет в техподдержку, что его телефон с номером [ваш номер] был украден, и просит деактивировать связанную учётную запись. Техподдержка никак не проверяет, принадлежит ли ему номер, и деактивирует аккаунт.

Телефон злоумышленника и телефон жертвы / Forbes

Как такое возможно?

Причина проста: по сути, мессенджер завязан только на номере телефона и не сравнивает операционную систему и идентификационный номер устройства. Кроме того, сами пользователи не имеют никакой защиты от посторонних: если вы введёте чей‑то номер в мессенджере и к этому номеру привязан аккаунт, он отобразится. Ограничить видимость своей учётной записи нельзя.

Устранить обе проблемы несложно: достаточно дать пользователям возможность скрывать свой аккаунт из поиска и добавить способ идентификации при входе с нового устройства: например, подтвердить его через уже авторизованный в системе гаджет.

Что делать, если аккаунт пытаются заблокировать?

Представители WhatsApp сообщили, что жертвам подобных атак стоит связаться с техподдержкой: подобные действия противоречат правилам использования платформы. Сделать это стоит, как только заметите SMS с кодами доступа WhatsApp, которые вы не запрашивали.

Также они посоветовали привязать к аккаунту email, чтобы восстановить доступ было проще. Об усилении безопасности, чтобы посторонний человек не мог заблокировать вам мессенджер, заявлений не было.

Слать в пешее эротическое путешествие прямым текстом, с точным указанием пункта назначения.

включить в телефоне белый список и режим не беспокоить

То же приходило несколько раз,я игнорирую.

Иллюстрация к комментарию

переключить телефон в режим "блокировать неизвестные, скрытые номера"

Какой-то банк или другая фигня слила ваш номер телефона свободный доступ они пытаются зачем-то заполучить его Включи двойную авторизацию вацап и хуй кто его у тебя уведёт

А что значит "начинаются звонки с просьбой подтвердить код"? Кто-то голосом у вас просит код?

Поставить приложение не бери трубку

Похоже что кто-то пытается восстановить доступ к вашему акку ватсап, скорее всего, без злого умысла.

Тот кто продвигает законопроект о запрете называть национальности

Извиняюсь, если уже где-то фигурировало. А что мы знаем о депутате Хамзаеве Султане Султановиче? Этот который является автором инициативы о том, чтоб запретить СМИ указывать национальность преступников. Наткнулся я тут на видео о том как он ведет дебаты. С таким поведением и манерой общения он самая яркая антиреклама своих законопроектов. Можете зайти на ютуб и набрав в поиске его фамилию посмотреть и другие эпизоды. Да и это видео не влезло целиком (Пикабу ограничил меня 3 минутами).

Там наверху правда считают что такой "персонаж" имеет право диктовать нормы по которым должно жить общество?

Как стать учителем ОБЖ?

Мой старший сын в школе спросил учителя ОБЖ: "А как стать учителем ОБЖ?"

Учитель ответил: " Это непросто. Для этого надо много раз свернуть не туда".

Вот так с самоиронией и филосовской ноткой учитель донес до класса, что работа так себе.

Урок истории от Собчак

Урок истории от Собчак Ксения Собчак, История, Факты, Мат

Удивительно, как она в МГИМО училась.


Сразу видно хорошую свадьбу

Сразу видно хорошую свадьбу

- Без бюстгальтера и без трусиков

- Без бюстгальтера и без трусиков Скриншот, Комментарии, Финансовые проблемы, Юмор, Девушки, Индусы

- Не делись своими финансовыми проблемами тут

Мама на удачу посоветовала сыну бросить монетки в двигатель самолета

Мама на удачу посоветовала сыну бросить монетки в двигатель самолета Китай, Китайцы, Традиции, Приметы, Гражданская авиация, Гифка, Азиаты

Молодой человек, направляясь на посадку вместе со своей женой и дочкой, бросил горсть монет в щель между самолетом и посадочным рукавом (телескопическим трапом), целясь в двигатель. Служба безопасности моментально отреагировала на его действия и задержала рейс на 40 минут, чтобы найти все монетки брошенные суеверным папашей.

Спустя 40 минут монетки были найдены, вблизи двигателя самолета. Китаец был задержан полицией, после чего ему предстоял суд с авиакомпанией, понесшей убытки от задерживания рейса.

Причиной своих действий молодой человек назвал желание привлечь удачу. Выяснилось, что это должен был быть первый полет для его четырехмесячной дочери на самолете. Кстати, совет поступить именно так, молодые люди получили от свекрови.

Ничего не делала и устала

На днях созванивалась с бабушкой, узнать как дела. Обсудили погоду, зашла речь о здоровье и тут бабуля выдает:

- Ой, за весь день сегодня ничего не сделала, а так устала!

- Не удивительно, ты же болела недавно, - ответила я. - Отдыхай больше. Давай за продуктами схожу, если надо?

- Не надо, я с утра на рынок сходила. Потом занавески сняла и постирала. Обед на три дня приготовила, цветы полила.

Я ничего не ответила. Ибо если этот список дел для бабули значит "ничего не делала", то боюсь представить какие мировые дела она творит в другие дни.

Продаю резину с нулевым пробегом

Знакомо?

Знакомо?


5 копеек на пост «Польза от регистратора»

Немножко не в тему.

Купил регистратор, хотя по деньгам тогда напрягало. Жена периодически грызла.

Однажды поворачиваю направо под мигающую зелёную стрелку и. Вы нарушили, ехали на красный!

Я: отнюдь! Мигающий зелёный - это честный зелёный.

Г: Нас двое, мы оба видели!

Я: у меня телевизор, предлагаю посмотреть кино.

Г: счастливого пути! (даже документы не спросил)

Я (жене): вот и окупился!


Ответ на пост «Skoda запретила своим автосалонам в РФ навязывать "допы" покупателям»

Ответ на пост «Skoda запретила своим автосалонам в РФ навязывать "допы" покупателям» Skoda, Дилер, Дополнительные опции, Автосалон, Наглость, Ответ на пост


Пусть лучше смеётся

Пусть лучше смеётся


Спасибо машинистам за радость!

Я часто хожу с сыном погулять к жд путям. У нас возле дома есть место, где можно безопасно встать так, чтобы увидеть вблизи проезжающий сапсан, или электричку. А уж если совсем повезет и попадешь на грузовой, то радости полные штаны:)

Так вот мой малой очень любит махать машинистам и очень часто машинисты активно гудят ему в ответ. Так вот, ребят, если вы это читаете, спасибо вам большое! Знайте - вы дарите ребенку настоящую, чистую радость.

А если честно, то и мне тоже, ведь за меня машет руками мой сынок, но радуемся как дети мы оба!

Суровый ребёнок

Суровый ребёнок


И в самом деле

И в самом деле Комментарии на Пикабу, Бизнес, Работа, Безделье, Microsoft Excel, Длиннопост

И в самом деле Комментарии на Пикабу, Бизнес, Работа, Безделье, Microsoft Excel, Длиннопост

Мамкин бизнесмен

Мамкин бизнесмен Бизнес, Деньги, Развитие

Мамкин бизнесмен Бизнес, Деньги, Развитие

За удержание в рабстве и раздробленный таз Дмитрия Бурцева фермер Магомед из Калмыкии осужден на 1 год ограничения свободы

За удержание в рабстве и раздробленный таз Дмитрия Бурцева фермер Магомед из Калмыкии осужден на 1 год ограничения свободы Негатив, Рабство, Калмыкия, Избиение, Гуманность, Суд, Видео

В Калмыкии осудили жителя республики, который три месяца удерживал на своей ферме и истязал ставропольчанина. В отношении работодателя возбудили уголовное дело. Об этом сообщило управление следственного комитета по Калмыкии.

Напомним, Дмитрий работал пастухом в Яшкульском районе Республики Калмыкия у местного фермера Магомеда с 7 января 2021 года. Через неделю уроженец Ставрополья понял, что продолжать трудиться пастухом не хочет и решил уехать, но у него отобрали паспорт. Кроме того, все это время ставропольчанину не позволяли пользоваться телефоном, ему приходилось терпеть побои и голод.

Следственный комитет Калмыкии возбудил уголовное дело в отношении фермера о незаконном лишении человека свободы. Суд признал его виновным и приговорил к ограничению свободы на год. Приговор еще не вступил в законную силу.

Тренд этой весны — использование сервисов видеоконференций. Они напомнили нам, что в Сети ваши данные могут утечь в открытый доступ. Мессенджеры взломать сложнее. Они защищены сквозным шифрованием. Но есть другие способы. Мы собрали признаки того, что вам стоит задуматься о приватности. Иначе злоумышленники получат доступ к переписке или файлам на смартфоне.

<p>Фото © Shutterstock</p>

Вы разговариваете по видеосвязи

Видеосервисы — тренд среди мессенджеров в 2020 году на фоне пандемии коронавируса. Учебные занятия, рабочие совещания, встречи с друзьями — всё это происходит по видеосвязи.

И у видеосвязи есть проблемы: она либо работает с низким качеством, либо становится уязвимой для взлома. Свежий пример — утечка данных в Zoom. Из-за уязвимости в системе утилиты в открытый доступ попали тысячи видеозвонков пользователей Zoom. На YouTube, Vimeo и других сайтах были размещены школьные занятия, сеансы у психотерапевтов, совещания и другие видеовстречи.

Видеозвонки в Zoom не защищены сквозным шифрованием, когда доступ к беседе имеют только участники. Шифруются только диалоги на сайте, в технических документах и интерфейсе приложений, но не видеосвязь.

Фото © Shutterstock

На пальцах: сквозное шифрование (end-to-end, E2E) — это когда система превращает текст или файлы в набор символов, а расшифровать их могут только собеседники (система сделает это автоматически). Сервис при этом может иметь доступ к этим данным, его также могут получить злоумышленники. Но, если ключа нет, значит, и возможности разобраться в них не будет.

Решение: пользуйтесь мессенджерами, в которых видеосвязь защищена сквозным шифрованием. Приложения, где его официально нет или разработчик не указывает, игнорируйте. Заявлено сквозное шифрование видео у WhatsApp и FaceTime.

Zoom или Discord? Выбираем сервис видеоконференций, чтобы разговор не слили в Сеть

Фото © Shutterstock

Получить вирус и лишиться данных через мессенджер ещё проще. Таким приложениям по умолчанию предоставляется доступ к хранилищу, а файлы загружаются автоматически. Так на ваш телефон проберётся вирус, который будет копировать данные или записывать происходящее на экране.

Решение: придерживайтесь двух правил — не скачивайте документы от неизвестных адресатов и ограничьте автоматическую загрузку файлов.

Вот как это делается на WhatsApp для Android: пройдите в "Настройки" —> "Данные и хранилище" —> "Автозагрузка медиа". Мессенджер может самостоятельно загружать четыре вида файлов: фото, видео, аудио и документы. Чтобы обезопасить себя от взлома, отключите автоматическую загрузку последних.

В ваш аккаунт входили с неизвестных устройств

Фото © Shutterstock

В соцсетях, мессенджерах и ряде других сервисов есть две важные функции: просмотр, с каких устройств был произведён вход в учётную запись, и возможность выхода из аккаунта со всех устройств.

Бывает, сайты показывают, на каких конкретно устройствах наблюдается активность. Например, "ВКонтакте" отображает, с каких аппаратов вы авторизованы. Если вы видите в списке не принадлежащее вам устройство, значит, в ваш аккаунт вошёл посторонний.

Решение: выйдите со всех устройств. Вы останетесь авторизованы только на одном своём, на котором выполняете операцию, для входа с остальных нужно будет снова авторизоваться.

  • Как это сделать во "ВКонтакте": зайдите в "Настройки" —> "Безопасность" —> "История активности". Вам будут показаны устройства, их местоположение и IP-адреса. Это позволяет точно идентифицировать взлом учётной записи.
  • Как это сделать в "Фейсбуке": пройдите по "Настройки" —> "Безопасность и вход". Вы увидите список устройств, с которых заходили в соцсеть. Нажмите "Дополнительно" (три вертикально стоящие точки) и выберите "Выход". Эта соцсеть позволяет выходить с конкретного устройства, а не со всех сразу.
  • Как это сделать в WhatsApp: здесь этого не требуется, на WhatsApp можно авторизоваться только с одного мобильного устройства, а с десктопа — по QR-коду.

После выхода со всех устройств смените пароль, чтобы злоумышленник не зашёл в аккаунт снова.

Вам прислали код аутентификации, который вы не запрашивали

Фото © Shutterstock

Telegram хотят разблокировать, но смысл? Одна функция "Яндекс.Мессенджера" убивает его и WhatsApp

Причём "Телеграм" — одно из уязвимых приложений. Ещё это могут быть другие мессенджеры, соцсети, электронная почта и приложения мобильных банков.

Читайте также: