У месенджері WhatsApp була виявлена критична вразливість, яка створює ризик несанкціонованого стеження за користувачами. Проблема виникає під час встановлення реакції на повідомлення, зокрема, коли користувач реагує на власний старий пост або повідомлення інших користувачів.
Про це розповідає ProIT
Механізм експлуатації уразливості
Як стало відомо, під час реакції на повідомлення сервер WhatsApp надсилає на смартфон службове повідомлення, про яке сам користувач не знає та не отримує жодного сповіщення. Цим можуть скористатися зловмисники: для проведення атаки достатньо знати лише номер телефону жертви, навіть якщо вона не перебуває у їхніх контактах.
Дослідники встановили, що через відправлення спеціальних команд, наприклад «поставити реакцію на повідомлення ID12345» з фіктивним ідентифікатором, можна змусити сервер WhatsApp надсилати відповіді відправнику. Власник смартфона не помічає таких дій, але відповідна інформація повертається ініціаторові запиту.
Загрози для приватності та пристрою
Аналізуючи відповідні сигнали від месенджера, зловмисники здатні визначити розклад дня користувача, отримуючи дані про його активність. Окрім загрози стеження, така атака також негативно впливає на роботу пристрою: під час безперервного надсилання запитів батарея смартфона може розряджатися до 18% за годину, а у фоновому режимі генерується до 13,3 ГБ прихованого інтернет-трафіку.
“Аналітики зазначають, що для здійснення такої атаки не потрібно мати жертву у списку контактів — достатньо знати її номер телефону”.