Приблизно 2 млрд юзерів месенджера WhatsApp ризикують втратити доступ до свого акаунту. Хакери можуть деактивувати обліковий запис на смартфоні, лише знаючи номер телефону. Двофакторна аутентифікація не допомагає захиститися від такого.
Для реалізації атаки використовується особливість WhatsApp. При першій інсталяції WhatsApp або зміні телефону платформа надсилає код по SMS для верифікації. Після цього месенджер запитає номер телефону, вказаний для двофакторної аутентифікації.
Будь-хто може встановити в смартфон WhatsApp та вказати чужий номер телефону для реєстрації. На цей вказаний номер телефону надійде SMS з кодом підтвердження.
Зловмисники навмисне вводять неправильні коди, і після кількох спроб WhatsApp блокує можливість введення кодів, пропонуючи почекати 12 годин. Це запускає таймер для реалізації другої частини вразливості.
Зловмисник реєструє нову електронну пошту та відправляє з неї листа на адресу технічної підтримки WhatsApp з проханням деактивувати телефонний номер.
Приблизно через годину після цього листа WhatsApp припиняє працювати на смартфоні жертви. Система пропонує вказати телефонний номер для реєстрації, щоб надіслати код з підтвердженням. Однак коли юзер вводить цей код, вона повідомляє, що спроби введення кодів вичерпано.
Щоб жертва не могла просто дочекатися вичерпання таймера, зловмисник продовжує вводити неправильні коди підтвердження, і в деяких випадках таймер ламається та WhatsApp починає показувати, що спробу можна повторити через -1 секунду.
