הפגיעות הזו של WhatsApp היא די טיפשית, אבל היא יכולה לנעול אותך מהחשבון שלך ללא הגבלת זמן

חוקרי אבטחה מצאו פגיעות חדשה של WhatsApp המאפשרת לתוקפים לנעול אותך בקלות מחוץ לחשבון שלך.

חוקרי אבטחה מצאו פגיעות חדשה ב-WhatsApp שעשויה לגרום למשתמשים נוספים לעשות זאת לצאת משירות ההודעות בבעלות פייסבוק. שחקנים זדוניים יכולים בקלות לנצל את הפגיעות הזו כדי לנעול אותך מחשבון WhatsApp שלך ללא הגבלת זמן, מה שהופך אותו ליותר מסתם אי נוחות קלה עבור 2 מיליארד המשתמשים של המסנג'ר ומעלה. אבל זה לא החלק הכי גרוע.

על פי החוקרים לואיס מרקס קרפינטרו וארנסטו קנאלס פרנה (באמצעות פורבס), התוקפים אינם זקוקים לתוכנה או הכשרה מיוחדת כדי לנצל את הפגיעות הזו. הם צריכים רק גישה למספר הטלפון שלך. ברגע שיש להם את זה, הם יכולים לנעול אותך מחשבון WhatsApp שלך בלי הרבה מאמץ. והנה איך זה עובד.

WhatsApp דורש אימות דו-שלבי בכל פעם שאתה נכנס למכשיר חדש. לשם כך, השירות שולח קוד בן שש ספרות למספר הטלפון שלך לאימות. במקרה שהזנת את הקוד השגוי מספר פעמים, WhatsApp תשה את חשבונך אוטומטית למשך 12 שעות.

תהליך אימות מספר טלפון (תמונה: פורבס)

תוקפים יכולים לנצל את מערכת האימות הדו-גורמי הזו על ידי התקנת WhatsApp במכשיר חדש, הזנת מספר הטלפון שלך והזנת קוד שגוי שוב ושוב. אמנם זה ימנע ממך להיכנס למכשיר חדש במשך 12 השעות הבאות, אבל זה לא ישפיע על התקנת WhatsApp הנוכחית שלך. זה ימשיך לעבוד כמתוכנן.

הזנת קוד שגוי מובילה להשעיה של 12 שעות (תמונה: פורבס)

כדי למנוע ממך להיכנס למכשיר חדש ללא הגבלת זמן, תוקף צריך לחזור רק שלוש פעמים על השלבים האמורים. במחזור השלישי של 12 שעות, טיימר ההשעיה של האפליקציה יישבר ויתחיל להראות טיימר "-1 שניות" במקום זאת. ברגע שהבאג הזה יופיע, WhatsApp לא יאפשר לך להיכנס למכשיר חדש בכלל. עם זאת, ההתקנה הנוכחית שלך תמשיך לעבוד. אבל הניצול לא מסתיים שם, מכיוון שניתן לכבול אותו קדימה כדי להגביר באופן דרסטי את השפעתו.

באג הספירה לאחור של אימות מספר הטלפון מציג -1 שניות (תמונה: פורבס)

המהלך האחרון של התוקף ישבור גם את ההתקנה הנוכחית שלך, ואתה תינעל מחוץ לחשבון שלך לצמיתות. לשם כך, כל מה שהתוקף צריך לעשות הוא לשלוח לוואטסאפ אימייל המבקש מהשירות לבטל את מספר הטלפון שלך. וואטסאפ עשויה לשלוח תשובה אוטומטית לבקש מהתוקף לאשר את המספר, וברגע שיאשרו, וואטסאפ תשבית אוטומטית את חשבונך ללא ידיעתך.

דוא"ל לתמיכה של WhatsApp כדי לבטל את החשבון (תמונה: פורבס)

התקנת WhatsApp הנוכחית שלך תפסיק לפעול בפתאומיות, ותראה את ההתראה הבאה: "מספר הטלפון שלך כבר לא רשום בוואטסאפ בטלפון הזה. ייתכן שהסיבה לכך היא שרשמת אותו בטלפון אחר. אם לא עשית זאת, אמת את מספר הטלפון שלך כדי להיכנס חזרה לחשבון שלך." כעת, כשתנסה לאמת את מספר הטלפון שלך, תראה את טיימר ההשעיה "-1 שניות", ולא תוכל להתחבר כלל.

התגובה האוטומטית של WhatsApp לדוא"ל השבתה (תמונה: פורבס)

מכיוון שאין תחכום בהתקפה הזו, כל מי שיש לו גישה למספר הטלפון שלך יכול לנעול אותך בקלות מחשבון הוואטסאפ שלך תוך מספר ימים. לכן, וואטסאפ צריכה לטפל בבעיה הקשה הזו באופן מיידי.


השליח כבר קיבל התראה על הבעיה. בתגובה לחשיפה, אמר דובר ווטסאפ פורבס זֶה "מתן כתובת דוא"ל עם האימות הדו-שלבי שלך עוזר לצוות שירות הלקוחות שלנו לסייע לאנשים אם הם יתקלו אי פעם בבעיה לא סבירה זו." העובדה שוואטסאפ מחשיבה זאת כבעיה "לא סבירה" צריכה להיות סיבה מספקת למשתמשים רבים להתרחק מהשירות. נוסף על כך, הוסיף הדובר כי מי שינסה את הניצול יפר את תנאי השירות של WhatsApp. כאילו זה יבריח את כל ההאקרים וימנע ממעשי קונדס לנסות את הניצול על משתמש לא חושד.

אנו קוראים לקוראים שלנו לא לנצל את הפגיעות הזו, לא בגלל שהפרת תנאי השירות של WhatsApp תכניס אותך לכלא, אלא בגלל שזה מעשה די מחורבן. כמו כן, אם אתה סוף סוף מוכן לעבור לשירות אחר, בדוק את שלנו מדריך מעמיק על חלופות וואטסאפ שמדגיש את כל היתרונות והחסרונות של מעבר לפלטפורמה אחרת.