Dos investigadors alacantins han localitzat un error de seguretat de WhatsApp a través del qual qualsevol persona pot bloquejar un compte de l’aplicació coneixent únicament el seu número de telèfon. Els autors de la descoberta, Luis Márquez i Ernesto Canales, expliquen a Forbes que aquesta pràctica es pot dur a terme a través de dos funcionalitats de l’aplicació. Quan registrem WhatsApp a un nou dispositiu, aquest ens demanarà introduir el número de telèfon per enviar un SMS amb un codi generat automàticament, per tal de realitzar la verificació en dos passos. El problema rau en què qualsevol persona pot introduir el nostre número de telèfon, malgrat que no pugui accedir al codi que ens han enviat.

L’atacant pot anar intentant una i altra vegada aquest procés, introduint codis inventats fins que el sistema de seguretat de l’aplicació bloquegi l’accés en el moment en què s’arribi a un nombre determinat d’intents. En aquell moment, no es podrà tornar a intentar introduir el nostre número de telèfon a cap dispositiu fins que hagin passat 12 hores.

Desactivar el compte a través d’un correu electònic

Aquí és on entra la segona fase de l’ofensiva. Si una persona vol desactivar el seu compte de WhatsApp per haver perdut el seu mòbil o haver patit un robatori, pot fer-ho enviant un correu electrònic a support@whatsapp.com, indicant la causa i el número de telèfon. En rebre el missatge, WhatsApp enviarà automàticament una resposta demanant la confirmació del número de telèfon, i si es correspon, el compte queda desactivat. Altra vegada, aquest procés pot ser dut a terme per qualsevol persona, atès que el nostre compte a l’aplicació no està lligat a cap adreça de correu electrònic.

Els atacants aprofiten el bloqueig de 12 hores del sistema de doble verificació per desactivar el compte i no donar opció de reactivar-lo

Tornar a activar el compte és tan fàcil com demanar-ho des de l’aplicació, moment en què se’ns enviarà un codi de verificació en dos passos. El problema sorgeix si, abans de desactivar-nos el compte, l’atacant ha dut a terme la primera ofensiva. El resultat serà que no podrem sol·licitar un nou codi fins passades les 12 hores des del moment en què es bloquegessin. Si l’atacant segueix forçant el sistema passades les 12 hores durant diverses repeticions i anticipant-se al propietari del compte, arribarà un punt en què es genera un error que inutilitza la introducció de codis. En aquest punt, cada cop que s’intenti introduir un codi de verificació, WhatsApp notificarà que “Ja ho has endevinat diverses vegades”, i demanarà tornar-ho a intentar després de “-1 segons”.

La companyia no s’ha pronunciat encara respecte aquest error del sistema ni ha comunicat canvis en l’aplicació per evitar-los. WhatsApp, propietat de Facebook després de la compra efectuada el 2014 per més de 20.000 milions de dòlars, és l’eina de missatgeria instantània més utilitzada al món, amb una base d’usuaris de més de 2.000 milions d’usuaris arreu del món. Recentment la xarxa social ha rebut una filtració d’informació personal de més de 530 milions d’usuaris.