Error en WhatsApp permite desactivar y bloquear cuentas durante 24 horas

 La vulnerabilidad descrita por Luis Márquez Carpintero y Ernesto Canales Pereña está relacionada con dos procesos separados en WhatsApp afectados por una seria debilidad de seguridad, lo que permitiría a un atacante desactivar la cuenta del usuario afectado e impedir su reactivación. Como se menciona anteriormente, al instalar la aplicación en un nuevo dispositivo el servicio envía un código vía SMS para la verificación de la cuenta para posteriormente solicitar un número de autenticación.

D.o.S. a una cuenta de WhatsApp

El proceso de verificación de WhatsApp limita la cantidad de códigos que se pueden enviar, por lo que después de algunos intentos incorrectos por parte de los atacantes, WhatsApp hará que el usuario elija si desea recibir un nuevo SMS o una llamada después de 12 horas.

En menos de una hora la plataforma desactiva la cuenta asociada al número de teléfono enviado por email, notificando al usuario que el número de teléfono ya no está registrado para WhatsApp en su teléfono.

WhatsApp: Cómo un atacante puede bloquear tu cuenta sin que la puedas desbloquear 

Un ataque de Denegación de Servicio (D.o.S.: Denial of Service) que puede hacer que tu cuenta de WhatsApp se quede inutilizada durante un tiempo indefinido, gracias a que la app de WhatsApp permite realizar intentos infinitos a cualquier atacante sobre un número de teléfono asociado a una cuenta de WhatsApp de su víctima.

Esto es sencillo de entender, porque como ya sabe todo el mundo, la forma en la que WhatsApp verifica la propiedad de una cuenta es mediante un SMS de verificación, o una llamada de voz asociada a un número de teléfono.

De esta forma, al introducir el código recibido en la aplicación somos capaces de verificar que ese usuario efectivamente es el poseedor de la línea y quiere iniciar sesión o registrarse en WhatsApp.  Conociendo este sistema, es fácil que surja la siguiente pregunta, ¿sería posible realizar un ataque de fuerza bruta introduciendo infinidad de códigos SMSs en la aplicación hasta dar con el correcto? 

Pues bien, para que esto no suceda, tras el octavo intento WhatsApp pone un temporizador de 12 horas en el que se impide introducir códigos de SMS para ese número, desde cualquier dispositivo (incluido el de la víctima).

Como se ha visto en el ejemplo, pedir códigos SMS hasta que WhatsApp bloquee los SMS de verificación durante un periodo largo de 12 horas es, por separado, un ataque bastante "inofensivo", pues solo afectaría a la víctima en caso de ella quisiera iniciar sesión en otro móvil en esas primeras 12 horas, algo poco habitual. Sin embargo, y como han explicado en Forbes esto puede ser más peligroso de lo que parece.

El problema de este ataque es que, con la combinación que habilita WhatsApp para cerrar la sesión de tu móvil sin autenticación previa, de forma remota y de manera automatizada, con simplemente enviar un e-mail a la dirección support@whatsapp.com con el contenido de mensaje:

"Lost/Stolen: Please deactivate my account +34 XXX XX XX XX"

La única "limitación" es que solo se puede enviar un e-mail de este estilo por cuenta de correo y por número de teléfono. Pero aún así, con solo un mensaje de este tipo, llegados a este paso la víctima verá el siguiente mensaje, en el que presionando cualquiera de los botones se pedirá que se vuelva a validar.  

Ahora, al probar con cualquier código de verificación de cuenta, incluso el último correcto que haya recibido, la víctima estará fuera de WhatsApp y no podrá iniciar sesión hasta pasadas 12 horas, que es cuando podrá pedir un nuevo código de verificación que se utilizable.

El problema es que, si el atacante quiere que esto sea permanente solo deberá realizar el mismo ataque de fuerza bruta probando SMSs hasta en tres ocasiones, una vez transcurran las 12 horas, para conseguir otro bloqueo de igual periodo de tiempo. En este momento la cuenta atrás dejará de marcar 12 horas para marcar -1 segundos, habiendo bloqueado la cuenta permanentemente.

Fuentes:

https://www.forbes.com/sites/zakdoffman/2021/04/10/shock-new-warning-for-millions-of-whatsapp-users-on-apple-iphone-and-google-android-phones/

https://www.elladodelmal.com/2021/04/whatsapp-como-un-atacante-puede.html

https://noticiasseguridad.com/seguridad-movil/error-sin-corregir-en-whatsapp-permite-vengarse-y-desactivar-la-cuenta-de-cualquier-persona-durante-24-horas/