이 WhatsApp 취약점은 매우 어리석지만 계정을 무기한으로 잠글 수 있습니다.

잡집Nov 23, 2023

보안 연구원들이 공격자가 사용자의 계정을 쉽게 잠글 수 있는 새로운 WhatsApp 취약점을 발견했습니다.

보안 연구원들이 WhatsApp에서 더 많은 사용자를 유발할 수 있는 새로운 취약점을 발견했습니다. Facebook 소유 메시징 서비스 종료. 악의적인 행위자는 이 취약점을 쉽게 악용하여 WhatsApp 계정을 무기한으로 잠글 수 있으며 이는 20억 명 이상의 메신저 사용자에게 사소한 불편함 그 이상입니다. 그러나 그것은 최악의 부분이 아닙니다.

연구원 Luis Márquez Carpintero와 Ernesto Canales Pereña에 따르면(~을 통해 포브스), 공격자는 이 취약점을 악용하기 위해 특별한 소프트웨어나 교육이 필요하지 않습니다. 그들은 귀하의 전화번호에만 접근하면 됩니다. 일단 그렇게 하면 많은 노력 없이도 귀하의 WhatsApp 계정을 잠글 수 있습니다. 작동 방식은 다음과 같습니다.

WhatsApp에는 새 장치에 로그인할 때마다 이중 인증이 필요합니다. 이를 위해 서비스는 확인을 위해 귀하의 전화번호로 6자리 코드를 보냅니다. 잘못된 코드를 여러 번 입력하는 경우 WhatsApp은 자동으로 12시간 동안 계정을 정지합니다.

전화번호 확인 프로세스(이미지: Forbes)

공격자는 새 장치에 WhatsApp을 설치하고, 전화번호를 입력하고, 잘못된 코드를 반복적으로 입력함으로써 이 2단계 인증 시스템을 악용할 수 있습니다. 이렇게 하면 앞으로 12시간 동안 새 장치에 로그인할 수 없지만 현재 WhatsApp 설치에는 영향을 미치지 않습니다. 의도한 대로 계속 작동할 것입니다.

잘못된 코드를 입력하면 12시간 정지됩니다. (이미지: Forbes)

새 장치에 무기한 로그인하는 것을 방지하려면 공격자는 앞서 언급한 단계를 세 번만 반복하면 됩니다. 세 번째 12시간 주기에는 앱의 정지 타이머가 중단되고 대신 "-1초" 타이머가 표시되기 시작합니다. 해당 버그가 나타나면 WhatsApp에서는 새 장치에 로그인하는 것을 전혀 허용하지 않습니다. 그러나 현재 설치는 계속 작동합니다. 그러나 익스플로잇은 여기서 끝나지 않습니다. 연쇄적으로 연결되어 영향력을 대폭 증가시킬 수 있기 때문입니다.

-1초를 표시하는 전화번호 확인 카운트다운 버그(이미지: Forbes)

공격자의 마지막 움직임으로 인해 현재 설치도 중단되고 귀하의 계정이 영구적으로 잠기게 됩니다. 이를 위해 공격자가 해야 할 일은 WhatsApp에 전화번호 비활성화를 요청하는 이메일을 보내는 것뿐입니다. WhatsApp은 공격자에게 번호 확인을 요청하는 자동 응답을 보낼 수 있으며 공격자가 확인하면 WhatsApp은 사용자가 모르는 사이에 자동으로 계정을 비활성화합니다.

계정 비활성화를 위해 WhatsApp 지원팀에 이메일을 보내세요(이미지: Forbes)

그러면 현재 WhatsApp 설치가 갑자기 작동을 멈추고 다음 알림이 표시됩니다. "귀하의 전화번호는 더 이상 이 전화기의 WhatsApp에 등록되어 있지 않습니다. 다른 휴대폰에 등록했기 때문일 수 있습니다. 그렇게 하지 않았다면 전화번호를 확인하여 계정에 다시 로그인하세요." 이제 전화번호 인증을 시도하면 '-1초' 정지 타이머가 표시되며 아예 로그인이 불가능해집니다.

비활성화 이메일에 대한 WhatsApp의 자동 응답(이미지: Forbes)

이 공격은 정교하지 않기 때문에 귀하의 전화번호에 접근할 수 있는 사람은 누구나 며칠 내에 귀하의 WhatsApp 계정을 쉽게 잠글 수 있습니다. 따라서 WhatsApp은 이 눈에 띄는 문제를 즉시 해결해야 합니다.

해당 메신저는 이미 해당 문제에 대해 경고를 받았습니다. 이 공개에 대해 WhatsApp 대변인은 다음과 같이 말했습니다. 포브스 저것 "2단계 인증에 이메일 주소를 제공하면 고객 서비스 팀이 사람들이 이러한 가능성 없는 문제에 직면할 때 도움을 줄 수 있습니다." WhatsApp이 이를 "가능성이 낮은" 문제로 간주한다는 사실은 많은 사용자가 서비스를 떠나는 충분한 이유가 됩니다. 게다가 대변인은 익스플로잇을 시도하는 사람들은 WhatsApp의 서비스 약관을 위반하게 될 것이라고 덧붙였습니다. 마치 그것이 모든 해커들을 겁주고 장난꾸러기들이 의심하지 않는 사용자에게 악용을 시도하는 것을 막는 것처럼 말입니다.

우리는 독자들에게 이 취약점을 악용하지 말 것을 촉구합니다. WhatsApp의 서비스 약관을 위반하면 감옥에 가게 되기 때문이 아니라 다소 형편없는 일이기 때문입니다. 또한 마침내 다른 서비스로 전환할 준비가 되셨다면 다음을 확인해 보세요. WhatsApp 대안에 대한 심층 가이드 이는 다른 플랫폼으로 전환할 때의 모든 장단점을 강조합니다.