WhatsApp ja coneix un greu error de seguretat que afecta la seva app i que pot fer que qualsevol pugui bloquejar el teu compte en tot just uns minuts. Els investigadors especialitzats en ciberseguretat, Luis Márquez Carpintero i Ernesto Canales han descobert aquest error que aprofita una vulnerabilitat que afecta milions de persones de tot el món.
App de WhatsApp a l’iPhone
Forbes ha publicat un article desvetllant les conclusions d'aquests dos investigadors espanyols. L'únic que es necessita per bloquejar el compte de qualsevol usuari de WhatsApp és conèixer el seu número de telèfon.
"Aquest és un altre hack preocupant, un que podria afectar milions d'usuaris que podrien ser atacats. Amb tanta gent confiant en WhatsApp com la seva principal eina de comunicació per a finalitats socials i laborals, és alarmant amb quina facilitat pot ocórrer això".
Com funciona aquesta fallada de seguretat de WhatsApp?
Com segurament saps, WhatsApp compta amb un sistema d'autentificació en dos passos. Quan iniciem sessió en un nou dispositiu, ens envia un missatge de text amb un codi que hem d'introduir per completar l'inici de sessió. Aquesta vulnerabilitat aprofita una fallada en aquest procés.
És un sistema necessari ja que sinó, qualsevol amb el nostre número de telèfon, podria iniciar sessió amb el nostre compte de WhatsApp, tanmateix no és un sistema perfecte. Ambdós investigadors han descobert que, si sol·licites aquest codi de verificació en repetides ocasions, WhatsApp bloqueja durant 12 hores la possibilitat d'iniciar sessió amb aquest número de telèfon ja que el sistema limita el nombre de codis que es poden enviar.
La víctima no pararà de rebre codis de verificació de WhatsApp, però no sabrà què està succeint, per la qual cosa el més normal és que els ignori. A més, això no hauria de ser un problema mentre que el compte atacat no tanqui sessió a l'app de WhatsApp que té al seu mòbil, però aquí és quan arriba el segon pas.
Els atacants envien un missatge de correu electrònic al compte de suport oficial de WhatsApp, sol·licitant el tancament del compte. En el missatge apareix el número de telèfon i al·leguen que el compte podria haver estat robat.
Al cap de molt poc temps, els atacants reben un correu electrònic generat automàticament per WhatsApp en què s'indica que el compte de WhatsApp de la víctima s'ha suspès correctament.
El correu de suport de WhatsApp
I aproximadament una hora després, la víctima veurà com es tanca el seu compte de WhatsApp del seu mòbil sense que sàpiga per què.
"El teu número de telèfon ja no està registrat a WhatsApp en aquest telèfon. Això podria ser perquè el vas registrar en un altre telèfon. Si no ho vas fer, verifica el teu número de telèfon per tornar a iniciar sessió al teu compte".
Quan la víctima intenta iniciar sessió de nou, es troba amb què no pot fer-ho a causa de la restricció de 12 hores que els atacants havien forçat anteriorment. Cosa que deixa la víctima sense WhatsApp durant, almenys, 12 hores.
Si a més la víctima es recorda dels missatges rebuts i intenta introduir algun dels números de verificació que anteriorment li havien arribat, el comptador d'hores continuarà pujant i trigarà més temps a poder tornar a iniciar sessió amb el seu compte de WhatsApp.
WhatsApp s'enfronta a usuaris descontents amb els seus nous termes d'ús
Però això no és tot. Sembla ser que hi ha un bug a WhatsApp pel qual, si els atacants decideixen repetir el procés 3 vegades seguides, WhatsApp pot mostrar el missatge "Has intentat iniciar sessió massa vegades. Intenta-ho de nou en -1 segons".
Si apareix aquest missatge, ets en seriosos problemes ja que accedir a WhatsApp es tornarà gairebé impossible. Esperar que l'aplicació et permeti tornar a provar nous codis no funciona i hauràs de contactar amb el suport tècnic de WhatsApp per trobar una solució.
Este problema de WhatsApp es produeix perquè el compte està associat únicament a un número de telèfon. Si WhatsApp sol·licités un correu o una contrasenya, aquest sistema seria inútil.
Tanmateix, actualment, ha demostrat ser efectiu i pot bloquejar el teu compte de WhatsApp durant molt de temps. Que tingui cura Marck Zuckerberg que ara que s'ha filtrat el seu telèfon qualsevol pot bloquejar el seu compte de WhatsApp.