Saldırganlar WhatsApp'ı engellemenin bir yolunu buldu

Nasıl bilgi verir Forbes, saldırganlar WhatsApp kullanıcılarının hayatlarını daha da kötüleştirmenin yeni bir yolunu buldu. Tek yapmanız gereken telefon numaranızı bilmektir - ve iki faktörlü kimlik doğrulamanın bile zararı olmaz.

Bu şekilde çalışır. Saldırgan akıllı telefonuna WhatsApp yükler ve sizin numara. Yetkilendirme için, habercisi bir kod ister - bu da sizin telefon, ama görmezden geliyorsun çünkü istemedin ve bunun bir hata olduğunu düşünüyorsun. Sorun şu ki, hedef kodu almak değildi.

Saldırgan, doğru olanı tahmin etmeye bile çalışmadan rastgele kodları tekrar tekrar girer. Birkaç başarısız denemeden sonra, sistem yeni kodların gönderilmesini 12 saat süreyle engeller. Böylece, messenger'ınız iyi çalışıyor, ancak yetkilendirme kodlarının gönderilmesi askıya alındı. Teorik olarak, bu süre zarfında tekrar doğrulamaya gitmeniz gerekmiyorsa, bu bir sorun olmayacaktır.

Ancak daha sonra aynı saldırgan yeni bir e-posta oluşturur ve teknik desteğe telefon numarasının [numaranızın] çalındığını yazar ve ilgili hesabı devre dışı bırakmasını ister. Teknik destek, numaranın kendisine ait olup olmadığını hiçbir şekilde kontrol etmez ve hesabı devre dışı bırakır.

Ve sadece bu aşamada kullanıcı sorun yaşamaya başlar: telefon numarasının WhatsApp'a kayıtlı olmadığına dair bir mesaj belirir. Hesabınıza giriş yapmayı denemek için bir doğrulama kodu gönderebilirsiniz. Ancak sistem, çok fazla başarısız giriş denemesi yaptığınızı ve 12 saat beklemeniz gerektiği konusunda uyarıyor. Daha önce aldığınız kodları girmek işe yaramıyor.

Kötü bir şakanın kurbanı olduysanız, 12 saat sonra yeniden erişim kazanabilirsiniz. Ancak, bir saldırgan teknik desteğe istek göndermeyebilir, bunun yerine zamanlayıcı süresi dolduktan sonra kod isteme işlemini tekrarlayabilir. Üçüncü kez (yani, ilk saldırıdan 24 saat sonra) sistem bozulur: zamanlayıcı 12 saati değil, -1 saniyeyi ve her iki akıllı telefonda gösterir. Bunu düzeltmek imkansız.

Daha sonra teknik desteğe bir istek gönderirseniz, zamanlayıcı bozulduğu için hesap kalıcı olarak devre dışı bırakılır. Bu, olayların olası en kötü gelişmesidir.

Bu nasıl mümkün olabilir?

Nedeni basit: aslında, haberci yalnızca telefon numarasına bağlıdır ve işletim sistemi ile cihaz kimlik numarasını karşılaştırmaz. Buna ek olarak, kullanıcıların kendileri de yabancılardan korunmamaktadır: Messenger'a birinin numarasını girerseniz ve bu numaraya bir hesap bağlanırsa, görüntülenecektir. Hesabınızın görünürlüğünü sınırlayamazsınız.

Bu nedenle WhatsApp'a kimin kayıtlı olduğunu bulmak zor değil. Aynı zamanda, kullanıcıların telefon numaraları düzenli olarak sızıntılarla yüz yüze geliyor - tıpkı yakın zamandaki büyük Erik Facebook veritabanları.

Her iki sorunu da düzeltmek zor değildir: Kullanıcılara hesaplarını aramadan gizleme ve ekleme imkanı vermek yeterlidir. yeni bir cihazdan girerken tanımlama yöntemi: örneğin, sistemde önceden yetkilendirilmiş bir cihaz aracılığıyla onaylayın gadget.

Ya hesabı engellemeye çalışırlarsa?

WhatsApp temsilcileri, bu tür saldırıların kurbanlarının teknik desteğe başvurmaları gerektiğini söyledi: bu tür eylemler platformu kullanma kurallarına aykırıdır. Sormadığınız WhatsApp erişim kodlarını içeren bir SMS fark ettiğiniz anda bunu yapmaya değer.

Ayrıca, erişimi geri yüklemeyi kolaylaştırmak için hesabınıza bir e-posta bağlamanızı tavsiye ettiler. Bir yabancının habercinizi engelleyememesi için güvenliği artırma konusunda hiçbir açıklama yapılmadı.