WhatsApp posiluje obranu proti převzetí účtu prostřednictvím malwaru

„Malware pro mobilní zařízení je dnes jednou z největších hrozeb pro soukromí a bezpečnost lidí, protože může bez vašeho svolení zneužít váš telefon a použít váš WhatsApp k odesílání nechtěných zpráv,“ uvedla v oznámení společnost vlastněná Meta.

Bezpečnostní opatření nazvané Device Verification je navrženo tak, aby pomohlo zabránit útokům na převzetí účtu tím, že zablokuje spojení aktéra hrozby a umožní cílům napadení malwarem používat aplikaci bez jakéhokoli přerušení. Jinými slovy, cílem je odradit útočníky od používání malwaru ke krádeži ověřovacích klíčů WhatsApp a únosu účtů obětí a následně se za ně vydávat za účelem distribuce spamu a phishingových odkazů dalším kontaktům.

Ověření zařízení tak automaticky blokuje pokusy útočníků o odcizení účtu prostřednictvím neviditelných back-endových kontrol pomocí tří nových parametrů: bezpečnostního tokenu uloženého v zařízení, nonce (označení pro náhodné číslo, které lze použít pouze jednou) používaného k identifikaci, zda se klient připojuje k načtení zprávy ze serverů WhatsApp, a autentizační výzvy, která bude asynchronně pingovat na zařízení uživatele.

Tato funkce již byla zavedena pro všechny uživatele WhatsApp pro Android a v současné době se také rozšiřuje pro uživatele iOS po celém světě.

WhatsApp má v úmyslu zprovoznit tuto funkci v nadcházejících měsících, ačkoli již hostuje a provozuje auditovatelný klíčový adresář všech svých uživatelů. „Jedná se o důležitý mechanismus, který umožňuje uživatelům, kteří si uvědomují bezpečnost, rychle ověřit šifrovanou osobní konverzaci,“ dodala společnost.

https://thehackernews.com/2023/04/whatsapp-introduces-new-device.html

https://www.bleepingcomputer.com/news/security/whatsapp-boosts-defense-against-account-takeover-via-malware/