WhatsApp-sovelluksesta on löytynyt uusi heikkous, jonka avulla hyökkääjä voi tehdä iskun kohteeksi joutuneen tilin käyttökelvottomaksi. Asiasta varoittaa talouslehti Forbes.
Haavoittuvuuden huomasivat kyberturvallisuustukijat Luis Márquez Carpintero ja Ernesto Canales Pereña.
Äskettäin löydetty haavoittuvuus herättää erityistä huolta, sillä hyökkääjä tarvitsee ainoastaan uhrin puhelinnumeron. Iskun periaatteena on yrittää kirjautua uhrin tilille uudella puhelimella. Kirjautumiseen tarvitaan kohteen puhelinnumero.
Koska kirjautuminen ei onnistu ilman tilin omistajan varmennusta, hyökkääjä ei kuitenkaan pääse käsiksi uhrinsa tietoihin eikä pääse kirjautumaan tämän tilille. Tämä johtuu siitä, että kirjautumisen varmentamiseksi on syötettävä erillinen tekstiviestillä saapuva varmennekoodi. Koska viesti saapuu uhrille eikä hyökkääjälle, hyökkääjä ei saa sitä tietoonsa.
Iskun vahingollisuus perustuu siihen, että kun hyökkääjä on tarpeeksi monta kertaa yrittänyt kirjautua tilille, WhatsApp lukitsee tilin 12 tunnin ajaksi. Hyökkääjä voi toistaa iskunsa uudelleen, jolloin lukitus jatkuu 12 tunnin jälkeenkin.
Lukituksen jälkeen hyökkääjä lähettää WhatsAppille sähköpostiviestin, missä väittää puhelimensa kadonneeksi.
WhatsApp ohjeistaa käyttäjiä liittämään kaksivaiheiseen tunnistautumiseen mukaan sähköpostitilin. Näin sovellus pystyy paremmin tunnistamaan hyökkääjien huijausviestit.
Suomessa haavoittuvuudesta kertoi ensin Talouselämä.