Les chercheurs en sécurité Luis Márquez Carpintero et Ernesto Canales Pereña ont découvert la faille qui peut permettre aux attaquants de suspendre à distance un compte WhatsApp. La faille semble exister sur l'application de messagerie instantanée depuis un certain temps maintenant - en raison de deux faiblesses fondamentales.

Lorsque vous installez WhatsApp pour la première fois sur votre téléphone ou que vous changez de téléphone, la plate-forme vous enverra un code SMS pour vérifier le compte. Une fois que vous avez entré le bon code, l'application vous demandera votre numéro 2FA pour s'assurer qu'il s'agit bien de vous, alors vous y êtes.

La vulnérabilité permet à l'attaquant de saisir votre numéro de téléphone sur WhatsApp installé sur son téléphone. Ils demandent des codes répétés et entrent des suppositions incorrectes dans leur application. Vous recevrez les codes SMS, peut-être aussi les appels, mais vous ne pouvez rien faire avec eux, il n'y a nulle part où entrer ces codes. Et donc, vous ignorez tout. Plusieurs tentatives infructueuses de connexion à l'aide de votre numéro de téléphone bloqueront également les entrées de code sur WhatsApp installé sur le téléphone de l'attaquant pendant 12 heures.

Cependant, même si l'attaquant ne pourra pas répéter le processus de connexion avec votre numéro de téléphone, il pourra contacter le support WhatsApp pour désactiver votre numéro de téléphone depuis l'application. Ce dont ils ont besoin, c'est d'une nouvelle adresse e-mail et d'un simple e-mail indiquant que le téléphone a été volé ou perdu. En réponse à cet e-mail, WhatsApp demandera une confirmation que l'attaquant fournira rapidement de son côté.

Cela désactivera votre compte WhatsApp, ce qui signifie que vous ne pourrez plus accéder à l'application de messagerie instantanée sur votre téléphone. Vous ne pourrez pas éviter cette désactivation en utilisant 2FA sur votre compte WhatsApp car le compte a apparemment été désactivé via l'e-mail envoyé par l'attaquant.

Un porte-parole de WhatsApp a déclaré que les utilisateurs pouvaient éviter le problème de la désactivation de leurs comptes par des attaquants utilisant la faille nouvellement découverte en enregistrant leur adresse e-mail sur leur compte via une vérification en deux étapes. Cependant, WhatsApp n'a fourni aucun détail sur la question de savoir s'il corrige la vulnérabilité pour éviter ses effets néfastes sur les clients.