Des experts ont découvert une méthode permettant aux acteurs de la menace de détourner presque n’importe quel WhatsApp (s’ouvre dans un nouvel onglet) compte, en accédant à tous les messages et aux listes de contacts trouvés dans l’application.
Rahul Sasi, fondateur et PDG de la société de protection contre les risques numériques CloudSEK, a découvert qu’en utilisant le transfert d’appel automatisé proposé par certains services mobiles, ainsi que la possibilité d’envoyer un code de vérification de mot de passe à usage unique (OTP) via un appel vocal, un attaquant peut prendre sur presque tous les comptes WhatsApp.
Pour réussir l’attaque, l’auteur de la menace doit d’abord persuader la victime d’appeler un numéro commençant par un code d’interface homme-machine (MMI). Le numéro est généralement configuré par l’opérateur de téléphonie mobile et est utilisé pour activer le transfert d’appel.
Pas aussi facile qu’il y paraît
Le nombre commence généralement par une étoile ou un symbole dièse. Selon la publication, ces codes sont faciles à trouver et la plupart des principaux opérateurs de réseaux mobiles les prennent en charge.
L’appel de ce numéro transfère tous les futurs appels vers le point de terminaison appartenant à l’attaquant. Après cela, le processus est relativement simple, car l’attaquant peut lancer le processus d’enregistrement de WhatsApp sur son appareil et recevoir l’OTP via un appel vocal.
Mettre l’idée à l’épreuve, BipOrdinateur a constaté que cela fonctionne généralement, bien qu’avec quelques mises en garde. Tout d’abord, l’attaquant doit inciter la victime à utiliser un code MMI qui transfère tous les appels, pas seulement ceux qui sont passés lorsque la ligne est occupée.
Ensuite, ils doivent s’assurer que la victime est occupée suffisamment longtemps pour manquer le message texte l’informant que son application WhatsApp est en cours d’enregistrement sur un autre appareil.
De plus, si la victime a déjà activé le transfert d’appel, les attaquants doivent utiliser un numéro de téléphone différent, ce qui est « un petit inconvénient qui pourrait nécessiter plus d’ingénierie sociale ».
La méthode fonctionne sur Verizon et Vodafone, confirme la publication.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)