Falha permite invasão a contas WhatsApp, Google e outras



Hoje em dia a maioria das contas online, utilizam um procedimento de autenticação conhecido como 2FA ou autenticação por dois fatores, isso faz com que o usuário tenha que digitar além do nome de usuário e senha, uma outra informação, antes se utilizava muito perguntas secretas, hoje em dia é mais utilizado o numero de celular da pessoa, com isso, ao se conectar em um computador diferente, ou ao tentar redefinir a senha, o usuário tem que confirmar um código que é enviado via SMS para o numero de celular do mesmo, teoricamente isso tornaria a conta do usuário mais segura, pois mesmo que um hacker consiga o nome de usuário e senha da vítima, ainda assim seria necessário ter acesso ao celular da mesma, para poder receber o código de confirmação, mas e se ao invés de tentar obter a senha da conta da vítima, o invasor tentasse obter a senha do correio de voz do telefone da vítima?

Durante o evento hacker DEF COM o pesquisador de segurança Martin Vago, levantou a possibilidade de se resetar a senha de um usuário a partir de uma invasão ao correio de voz do celular, com isso seria possível invadir contas Google, WhatsApp, Apple, Microsoft, dentre outras. Essa hipótese já havia sido levantada pelo analista Edward Snowden (ex-funcionário da NSA e atual foragido por ter divulgado segredos da agencia americana).

Para provar o conceito da invasão ao correio de voz, Martin utilizou um script simples de força bruta para descobrir a senha correta do correio de voz, com a senha em mãos, basta pedir para que o serviço em questão redefina a senha por meio do recurso “Ligue para mim“, na apresentação, Martin conseguiu invadir uma conta PayPal. A invasão a conta tem 4 etapas, são elas:

1- Ataque de força bruta ao sistema de correio de voz, usando números de backdoor.

2- Certifique-se de que as chamadas vão diretamente para o correio de voz (chamada flooding, OSINT, HLR).

3- Processo de redefinição de senha usando o recurso “Ligue para mim”.

4- Ouça a mensagem gravada contendo o código secreto.

A falha de segurança já foi reportada pelo pesquisador as empresas, porém até o momento Martin afirmou que não recebeu nenhuma resposta satisfatória, portanto, por hora, Martin recomenda que os usuários desativem o seu correio de voz, se isso não for possível, ele recomenda que o PIN de segurança seja alterado para um mais longo.

Gostou da notícia? Então comente e compartilhe ;-)!!!

Nenhum Comentário para “Falha permite invasão a contas WhatsApp, Google e outras”

Deixe seu Comentário

Comentários Recentes

  • Wayner Pessoa: Muito bom! funcionando perfeitamente....
  • HENRIQUE: Me ajudou muito, obrigado!...
  • Priscila: Gostaria de participar para a prender hakea...
  • Priscila: Gostaria de participar do grupo hakea Whats...
  • Cesar: Funcionou no Windows 10 64 bits de boa! Óti...

Galeria de Imagens

Ver mais imagens