O uživatelských podmínkách, podmínkách soukromí a dalších dokumentech, které musíte před používáním aplikací či operačních systémů schválit, se všeobecně ví, že je „nikdo nečte“. Jen velmi otrlí jedinci se prokousají sáhodlouhými dokumenty až na konec, zlomek uživatelů se přinutí alespoň kliknout na jejich začátek, a studium „právnického textu“ po chvíli vzdá. Důležité je kliknout na souhlas, a málokdo ví, s čím vlastně po zaškrtnutí políčka souhlasí.
I přesto zní neuvěřitelně položka, která byla dlouhodobě zakotvena v uživatelských podmínkách WhatsAppu. Prakticky kdokoliv mohl smazat WhatsApp účet u libovolného telefonního čísla používaného kdekoliv ve světě. Stačilo jen WhatsAppu poslat krátký e-mail, v jehož těle jste uvedli frázi “Lost/Stolen: Please deactivate my account" (v překladu „Ztraceno/Odcizeno: Prosím deaktivujte můj účet“), který jste doplnili svým telefonním číslem. Prakticky hned v zápěstí došlo u daného čísla ke kompletnímu smazání celého WhatsApp účtu.
Objevila se vám ve WhatsApp, jednou či pravidelně, tato obrazovka? Znamenalo by to, že někdo zneužil funkci zakotvenou v uživatelských podmínkách, díky které vám smazal WhatsApp účet. Pro obnovení dat byla nutná rychlá opětovná registrace
Na tom by nebylo nic zarážejícího, kdyby tento postup nemohl použít kdokoliv z libovolné e-mailové adresy na světě, a třeba „z legrace“ i u vašeho čísla. Doručené e-maily procházel robot, který si informace neověřoval a účty hned mazal. Do e-mailové schránky pak dorazila zpráva o tom, že byl účet smazán. Pokud jste však chtěli obnovit své údaje a zůstat v chatovacích skupinách, bylo nutné se k WhatsAppu rychle opětovně registrovat. Jenže, případný útočník mohl stejnou „fintu“ používat do nekonečna, a prakticky každý den vám mazat uživatelský účet.
Nikdo neví, jak dlouho tato metoda existovala
Tuto neuvěřitelnou díru v uživatelských podmínkách WhatsAppu objevil Jako Moore zaměstnaný u firmy ESET. Po zveřejnění došlo zřejmě k velkému nárustu zneužívání této služby přesně tak, jak Moore nastínil na Twitteru. A hnuly se ledy. Při dalších pokusech už mazání účtů přestal zajišťovat automat, ale vývojáři přešli na nový kontrolní mechanismus. Abyste mohli nově smazat číslo na WhatsAppu, usíte doložit, že jste jeho majitelem, např. z faktury za služby u operátora.
Podle mnohých byla tato funkce zakotvena v uživatelských podmínkách WhatsAppu mnoho let, a až doteď si ji nikdo nevšiml. A pokud náhodou všiml, mohlo docházet k cíleným útokům na uživatele, jejichž obsahem bylo pravidelné mazání účtů, kterému nešlo zabránit. A kdo ví, co všechno se může skrývat v uživatelských podmínkách dalších mobilních aplikací? Nedávno jsme kupříkladu zabrousili do uživatelských podmínek Androidu, a nebylo to hezké čtení...
Představení funkce Chat Lock ve WhatsApp:
Zdroj: Jake Moore