WhatsApp’ın kimlik doğrulamasındaki bir açık “Hesabınızın Başkaları Tarafından Kapatılmasına” izin veriyor!
Biraz karışık olsa da, WhatsApp’ın kimlik doğrulama sistemindeki yeni bir boşluk, bir saldırganın sizi uygulama dışında bırakmasına veya başka bir deyişle hesabınızı devre dışı bırakmasına – hesabınızı kapatmasına olanak tanıyor.
WhatsApp’ı sık kullananlardan birisiyseniz, bu kulağı korkutucu gelebilir ancak ilgili açığı kullanarak hesabı kapatılması için epey bir uğraşılması ” 36 saat gibi” gerekiyor…
Bu haftanın başlarında, güvenlik araştırmacıları Luis Márquez Carpintero ve Ernesto Canales Pereña, Forbes’teki bir makale aracılığıyla bu kusuru keşfettiklerini paylaştılar. Açık ile ilgili işleyiş şekli şöyle:
- WhatsApp’ı yükledikten sonra saldırgan, kimlik doğrulama kodlarını isteyerek numaranız üzerinden oturum açmaya çalışır.
- WhatsApp, belirli sayıda denemeden sonra 12 saat boyunca kod gönderilmesini engelliyor.
- Bu arada, saldırgan yeni bir e-posta ayarlar ve hesabınızı devre dışı bırakmak için WhatsApp desteğine “kayıp / çalınmış bir telefon isteği” gönderiyor.
- WhatsApp desteği, e-posta adresinin hesabınızla ilişkilendirilip ilişkilendirilmediğini gerçekten doğrulamaya gerek duymaz, ki bu nedenle sizi uygulamanın dışında tutuyor.
- Bundan sonra, saldırganın 12 saatlik döngüyü iki kez tekrar etmesi gerekiyor.
- Bu üç döngünün sonunda, numaranız üzerinden giriş yapmaya çalışırken hem siz hem de saldırgan “-1 saniye sonra tekrar deneyin” mesajını göreceksiniz.
- Şimdi, bu hesabı kurtarmak için WhatsApp desteğiyle iletişime geçmeniz gerekecek.
Tüm bunlar tam bir garip ve tuhaf gelebilir. Elbette bir saldırganın sizin hesabınızı kilitlemek için çok fazla uğraşması gerekiyor. Özünde bu şekilde hiçbir veri veya para kaybı da olmaz.
Ancak endişe verici olan kısım, WhatsApp desteğinde kendinizi hesabınızın sahibi olarak doğrulamanızı isteyen bir mekanizmanın olmaması. Üstelik bu yöntem iki faktörlü kimlik doğrulama seçmiş bile olsanız başarılı oluyor.
WhatsApp’a göre ise bir sorun yok; zira Forbes’a “iki aşamalı doğrulamanızla birlikte bir e-posta adresi sağlamanın, müşteri hizmetleri ekibimizin bu beklenmedik sorunla karşılaşmaları durumunda insanlara yardımcı olmasına yardımcı olduğunu” söyledi.
Bunu yapmak için;
Hesap> İki adımlı doğrulama’ya gidip arıdan güvenli PIN kodunu girdikten sonra, onu kurtarmak için bir e-posta kimliği girebilirsiniz.
Ancak, erişiminiz yoksa WhatsApp desteğine yine de e-posta göndermeniz gerekebilir. Garip…