Разработчики мессенджера WhatsApp объявили о введении ряда новых защитных функций, однако из которых, «Подтверждение устройства» (Device Verification), должна обеспечить лучшую защиту от атак на захват учетной записи.

Как рассказывают в компании, Device Verification предотвращает использование малварью ключей аутентификации, украденных с зараженных мобильных устройств или полученных через неофициальные клиенты. Обычно злоумышленники используют такие ключи, чтобы выдать себя за другого пользователя (чужую учетную запись) и рассылают мошеннические и фишинговые сообщения списку контактов жертвы.

Новая функция будет автоматически блокировать попытки захвата аккаунта с помощью ряда фоновых проверок с использованием трех новых параметров: токена безопасности, хранящегося на устройстве; nonce, используемого для идентификации подключения клиента для получения сообщений с серверов WhatsApp; запросов аутентификации, которые будут асинхронно пинговать устройство пользователя.

Так, клиент должен отправлять токен безопасности каждый раз, когда подключается к серверу. При этом токен обновляется каждый раз, когда получает клиент получает офлайн-сообщение с сервера.

В свою очередь запрос аутентификации считается неудачным, если клиент отвечает на запрос с другого устройства, что указывает на аномалии в соединении, вызванные действиями злоумышленника. Это ведет к блокировке соединения. Если клиент не отвечает, процесс повторяется «еще несколько раз», после чего соединение блокируется, если ответа нет.

Помимо «Подтверждения устройства» разработчики WhatsApp анонсировали еще две защитные функции, которые будут уведомлять пользователей о переносе их учетных записей на другие устройства (Account Protect), а также автоматически проверять коды безопасности для подтверждения безопасного подключения к серверу (Automatic Security Codes).

В настоящее время новая функциональность уже развертывается для пользователей WhatsApp для Android и iOS по всему миру.

Источник: xakep