Kiaknázzák a hackerek a WhatsApp egy sebezhetőségét arra, hogy profilokat lopjanak, és személyes adatokat szerezzenek meg – írja a Bleeping Computer. A módszer a mobilszolgáltatók automatizált szolgáltatásán alapul, amely a hívásokat egy másik telefonszámra irányítja át, valamint a WhatsApp azon lehetőségén, hogy hanghíváson keresztül küldjön egyszeri jelszót a felhasználónak.
Rahul Sasi, a CloudSEK digitális kockázatokat elemző cég alapítója és vezérigazgatója közzétett néhány részletet a módszerről, amivel valóban fel lehet törni WhatsApp-fiókokat. A BleepingComputer tesztelte a megoldást, és megállapította, hogy
Csupán néhány percbe telhet, amíg a támadó átveszi az áldozat WhatsApp-fiókját, de ehhez ismernie kell a célpont telefonszámát, és fel kell készülnie némi szociális manipulációra is. Sasi szerint a hackernek először meg kell győznie az áldozatot arról, hogy hívjon egy olyan számot, amely a mobilszolgáltató által beállított Man Machine Interface (MMI) kóddal kezdődik, hogy lehetővé tegye a hívásátirányítást. A szolgáltatótól függően egy másik MMI kód mindig átirányíthatja a hívást egy másik számra, vagy csak akkor, ha a vonal foglalt, vagy nincs vétel. Ezek a kódok csillaggal (*) vagy hashtag (#) szimbólummal kezdődnek. Könnyen megtalálhatóak, és a Bleeping Computer által végzett kutatás szerint az összes jelentős mobilhálózat-szolgáltató támogatja őket.
„Az áldozat először hívást kap a támadótól, aki meggyőzi, hogy tárcsázza az MMI-kóddal ellátott telefonszámot. Néhány percen belül a WhatsApp kijelentkezteti az áldozatot, a támadók pedig teljes irányítást szereznének a fiók felett” – mondta Rahul Sasi.
A 10 jegyű telefonszám a támadóé, az előtte lévő MMI kód pedig azt mondja a mobilszolgáltatónak, hogy minden hívást az utána megadott telefonszámra irányítson át, ha az áldozat vonala foglalt. Ezután a támadó elindítja a WhatsApp regisztrációs folyamatot az eszközén, és kiválasztja a hanghívásos egyszeri jelszót. Miután megkapta a kódot, a támadó regisztrálhatja az áldozat WhatsApp-fiókját a saját eszközén, és engedélyezheti a kétfaktoros hitelesítést, amely megakadályozza, hogy a jogos tulajdonosok visszanyerjék a hozzáférést.
A hackereknek jó esélyük van a sikerre, mert a legtöbb felhasználó nem ismeri az MMI-kódokat vagy a mobiltelefon-beállításokat, amelyek letiltják a hívásátirányítást. A módszert a legkönnyebben úgy lehet kivédeni, hogy nem hívogatunk ismeretlen számokat WhatsAppon sem.