En rekke personer på Kanariøyene har blitt rammet av en sårbarehet i den populære meldingsappen WhatsApp, skriver avisen Canarias7.

IT-kriminelle som tar kontroll over brukerens telefonnummer eller blokkerer brukere ute fra appen er et økende problem, og i helgen ble en rekke brukere på øygruppen rammet, ifølge politiet.

Dette er sårbarheten

Sårbarheten som benyttes går ut på at hvem som helst kan skrive inn telefonnummeret til en WhatsApp-bruker i appen.

Når dette blir gjort får offeret en sekssifret kode på SMS eller i en samtale, der man også får beskjed om at man ikke må dele koden med andre.

En angriper kan gjøre dette med ditt WhatsApp-nummer samtidig som du bruker appen som normalt.

De ber gjentatte ganger om koden (som du får), mens de skriver inn feil kode gjentatte ganger. Fordi du ikke har bedt om kodene og ikke får brukt de uansett er det fort gjort å ignorere dette.

Fordi WhatsApp begrenser hvor mange koder som kan sendes ut vil angriperen til slutt få beskjed om å prøve på nytt om 12 timer. Mens WhatsApp på din mobil fortsetter å fungere som normalt har angriperen blokkert nye koder fra å sendes i de neste 12 timene.

Deretter kommer vi til sårbarhet nummer to:

Angriperen lager nå en ny e-postadresse og sender en e-post til kundesupport hos Whatsapp. Der påstår de at telefonen er stjålet, og ber om at kontoen med ditt nummer deaktiveres. Angriperen inkluderer nummeret ditt.

WhatsApp har fått en e-post med ditt nummer, men de kan ikke vite om det faktisk er eieren som har sendt denne forespørselen. Det er ingen oppfølging etter dette: en automatisk prosess startes, som ender med at ditt nummer og din konto hos WhatsApp blir deaktivert.

En times tid senere slutter WhatsApp å fungere på din telefon, og du får opp den skremmende beskjeden om at ditt nummer ikke lenger er registrert med WhatsApp på denne telefonen.

Videre får du en forklaring om at dette kan være fordi nummeret har blitt registrert på en annen telefon, og at du må bekrefte nummeret på nytt.

Dette skjer også hvis du har tofaktorautentisering aktivert på din konto.

Tilsynelatende er alt du trenger å gjøre å be om en ny kode for å reaktivere kontoen din. Men når du ber om denne oppdager du til din fortvilelse at du «har prøvd for mange ganger», fordi angriperen har brukt opp kodekvoten din for de neste 12 timene.

Dermed sitter du fast uten å vite hvorfor. Ikke får du bruke kodene du fikk tilsendt tidligere heller, da angriperen gjentatte ganger ba om kode, fordi «du har prøvd for mange ganger». Det er selvfølgelig angriperen som har prøvd for mange ganger, men dette vet ikke du.

En stygg vri

Nedtellingen er nå på rundt 10 timer. Hvis angrepet stopper her kan du be om en ny kode etter at timeren har telt ned, men her kommer nok en stygg vri:

Angriperen trenger ikke å sende en e-post til WhatsApp under den første nedtellingen på 12 timer. De kan gjenta prosessen. Du fortsetter å få meldinger med koder hver 12. time, men det er ingenting du kan gjøre med kodene. På dette tidspunktet vil du sannsynligvis mistenke at noe er galt.

Hvis angriperen gjør dette tre ganger klikker tilsynelatende appen. Du vil få beskjed om å prøve igjen etter «-1 sekunder», og du står fortsatt bom fast.

Fordi din telefon behandles likt som angriperens og vedkommende venter til det skjer før de kontakter WhatsApp for å deaktivere nummeret ditt, er det ikke lenger mulig for deg å bekrefte WhatsApp på din egen telefon. Da er det for sent, og du må kontakte WhatsApp i et håp om hjelp.

Plageånder

Selv hvis angriperen deaktiverer telefonen din under første nedtelling kan de aktivere nok en nedtelling hvis de ber om og skriver inn koder gjentatte ganger etter at tiden har gått ut.

Denne arkitekturen er derfor meget sårbar for misbruk. Det er latterlig enkelt å utføre et slikt angrep, og det er neppe sofistikerte hackere som står bak, men plageånder.

Denne sårbarheten ble offentlig kjent allerede tidlig i april, men er fremdeles ikke løst fra WhatsApp sin side.

WhatsApp sier til Forbes at du bør legge til en e-postadresse når du registrerer deg for tofaktorautentisering, slik at kundesupport bedre kan hjelpe de som opplever dette «usannsynlige problemet».

WhatsApp ville ikke bekrefte om de jobber for å løse problemet overfor Forbes.