В мессенджере WhatsApp была обнаружена критическая уязвимость, которая создает риск несанкционированного слежения за пользователями. Проблема возникает во время реакции на сообщения, в частности, когда пользователь реагирует на собственный старый пост или сообщения других пользователей.
Об этом сообщает ProIT
Механизм эксплуатации уязвимости
Как стало известно, во время реакции на сообщение сервер WhatsApp отправляет на смартфон служебное сообщение, о котором сам пользователь не знает и не получает никакого уведомления. Этим могут воспользоваться злоумышленники: для проведения атаки достаточно знать лишь номер телефона жертвы, даже если она не находится в их контактах.
Исследователи установили, что через отправление специальных команд, например «поставить реакцию на сообщение ID12345» с фиктивным идентификатором, можно заставить сервер WhatsApp отправлять ответы отправителю. Владелец смартфона не замечает таких действий, но соответствующая информация возвращается инициатору запроса.
Угрозы для приватности и устройства
Анализируя соответствующие сигналы от мессенджера, злоумышленники способны определить распорядок дня пользователя, получая данные о его активности. Помимо угрозы слежения, такая атака также негативно влияет на работу устройства: во время непрерывной отправки запросов батарея смартфона может разряжаться до 18% за час, а в фоновом режиме генерируется до 13,3 ГБ скрытого интернет-трафика.
«Аналитики отмечают, что для осуществления такой атаки не нужно иметь жертву в списке контактов — достаточно знать ее номер телефона».