Użytkownicy WhatsAppa powinni być wyczuleni na kolejną formę ataku, w której ktoś próbuje przejąć ich konto do komunikatora. W sieci można trafić na opis świeżego patentu polegającego na wykorzystaniu kodów MMI i nieświadomej aktywacji przekierowania połączeń przez ofiarę.
Szczegóły opisuje Bleeping Computer. Atak działa analogicznie do popularnego także w naszym kraju przejmowania kont z WhatsAppa poprzez wyłudzanie 6-cyfrowego kodu uwierzytelniającego użytkownika. Tutaj jest podobnie, ale proces jest w pewnym sensie zautomatyzowany - atakujący zaczyna od nakłonienia ofiary do wprowadzenia odpowiedniego ciągu znaków w telefonie, by zmienić ustawienia połączeń.
Wykorzystywany jest przy tym jeden z tzw. kodów MMI, dzięki którym można modyfikować i sprawdzać stan części ustawień w smartfonach. W tym przypadku chodzi o skonfigurowanie przekierowania połączeń na numer telefonu atakującego tak, by dzwoniący do ofiary w rzeczywistości dodzwaniali się do oszusta. Później atakujący podejmuje próbę aktywacji WhatsAppa na numer ofiary i wybiera opcję odsłuchania jednorazowego hasła zamiast przesłania kodu SMS-em.
Automat WhatsAppa dzwoni więc do ofiary, ale z uwagi na skonfigurowane przekierowanie połączeń - w praktyce dodzwania się do atakującego. Ciąg dalszy to tylko kwestia wprowadzenia odsłuchanego kodu do aplikacji. WhatsApp uruchomi się w telefonie i atakujący zyska możliwość odczytywania nowych wiadomości od znajomych ofiary i siłą rzeczy - podszywania się pod nią.
Bleeping Computer dodaje, że popularnym patentem jest też szybkie ustawienie weryfikacji dwuetapowej przez atakującego, przez co ofiara w praktyce nie odzyska już dostępu do swojego konta. Zagadką pozostaje natomiast kwestia namowy ofiary na wprowadzenie odpowiedniego kodu MMI w telefonie. Tutaj konieczna jest właściwa socjotechnika, ale skoro oszuści mają swoje sposoby w przypadku SMS-owej wersji tego oszustwa, zapewne na odpowiednie "połączenie" też da się niektórych namówić.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
