Door een fout in WhatsApp is het mogelijk voor aanvallers om accounts van derden te laten deactiveren. Hiervoor hebben de aanvallers alleen het telefoonnummer nodig dat aan het desbetreffende WhatsApp account is gekoppeld.
De WhatsApp-fout werd ontdekt door veligheidsresearchers Luis Márquez Carpintero en Ernesto Canales Pereña en werd voor het eerst aan het licht gebracht op 10 april via Forbes.
WhatsApp geblokkeerd
Om een account te deactiveren, installeren de aanvallers WhatsApp, waarna ze het telefoonnummer van het slachtoffer proberen te registeren. De app zet hierop twee-factor-authenticatie in om te verifiëren dat het nieuwe apparaat daadwerkelijk gekoppeld is aan de eigenaar van het account. Door herhaaldelijk de verkeerde code in te vullen zorgen de aanvallers er vervolgens voor dat de echte gebruiker 12 uur niet meer kan inloggen. Vervolgens maken de aanvallers een nieuw e-mailadres aan en sturen ze een bericht naar het support team. Hierin verzoeken ze het telefoonnummer te deactiveren in verband met een verloren of gestolen telefoon. Opmerkelijk genoeg checkt WhatsApp niet of dit mailadres wel gekoppeld is aan het account en wordt het nummer automatisch geblokkeerd.
In principe zou de accounthouder de app na 12 uur weer kunnen gebruiken. De aanvallers kunnen echter ook proberen het account permanent te blokkeren. Dit doen ze door na de periode van 12 uur nog tweemaal dezelfde cyclus uit te voeren en pas daarna een e-mail te sturen naar WhatsApp-support. Zowel de aanvallers als de accounthouder krijgen hierop een bericht om “-1 secondes” te wachten. Hierop kan de rechtmatige eigenaar van het account alleen nog het account herstellen door contact op te nemen met WhatsApp.
Geen oplossing
Het Facebook dochterbedrijf heeft het in een verklaring naar Forbes niet over een mogelijke oplossing voor het probleem. In plaats daarvan adviseren ze gebruikers een e-mailadres te gebruiken met twee-factor-authenticatie. Dit zou hun supportteam helpen als ze ooit met een dergelijk geval te maken krijgen.