Čini se kako nema kraja problemima s Facebookom i svim kompanijama povezanim sa Zuckerbergom – Fejs ima problema od Cambridge Analytice do nedavnog hakiranja, osnivači Instagrama napustili su kompaniju, nakon čega je ova društvena mreža bila nedostupna tijekom kraćeg razdoblja ovog tjedna, dok WhatsApp ne zna kako stati na kraj lažnim vijestima i hakiranju, odnosno otimanju računa.
Na posljednje otkriveni problem s WhatsAppom upozorila je nedavno izraelska vlada nakon velikog broja pritužbi oko krađe računa korisnicima u to zemlji. Hakeri, naime, sve češće koriste metodu otimanja računa koja je otkrivena još prošle godine i s kojom, uz malo sreće, mogu preuzeti kontrolu nad WhatsApp računima korisnika. Kako je riječ o platformi za komunikaciju s oko 1,5 milijardi korisnika te s obzirom na to da je ovo za mnoge primarna ili jedna od najvažnijih aplikacija za komunikaciju, jasno je koliko ovakvi propusti mogu biti opasni.
Princip rada kojim se koriste hakeri je sljedeći – nakon nove instalacije aplikacije na svoj uređaj, oni koriste telefonski broj nekog od postojećih korisnika te na taj broj zatraže kod koji se šalje SMS-om. Kada kažemo da je potrebno malo sreće za preuzimanje računa, mislimo na to da osoba koja je pravi vlasnik tog broja ne smije biti pri telefonu, zbog čega hakeri najčešće koriste ovaj napad po noći (ili ako znaju da vlasnik tog broja trenutno nije pri telefonu) kako vlasnik ne bi mogao upisati kod.
Nakon nekoliko neuspješnih pokušaja s kodom, WhatsApp primjenjuje metodu glasovne verifikacije te zove korisnika i izgovara kod za verifikaciju. No, ako vlasnik telefona ne može odgovoriti na poziv, aktivira se glasovna pošta te WhatsApp ostavlja glasovnu poruku s kodom.
Problem za veliki broj ljudi u Izraelu je što često koriste defaultnu lozinku za glasovnu poštu – 0000 ili 1234, a kako telekomi dopuštaju udaljen pristup glasovnoj pošti, hakerima je dovoljno upisati broj telefona korisnika i šifru za pristup glasovnoj pošti. Nakon toga poslušat će verifikacijski kod, upisati ga u aplikaciju i u potpunosti preuzeti račun na WhatsAppu. Sljedeći korak je, napominju na ZDnetu, aktivirane dvostruke autentifikacije kako bi vlasnika spriječili da ponovno preuzme kontrolu nad svojim računom.
Ova tehnika ne zahtjeva nikakvo tehničko znanje niti posebnu opremu te se posljednjih tjedana masivno koristi u Izraelu u kojem je na ovaj način otet veliki broj računa. Također, iz Izraela su upozorili i korisnike u drugim zemljama kako bi i oni mogli biti ranjivi s ovim propustom te korisnicima savjetuju aktivaciju dvostruke autentifikacije i, onima koji koriste glasovnu poštu, promjenu PIN-a ako koriste defaultni PIN operatera.
