Güvenlik araştırmacıları, saldırganların sizi kolayca hesabınızın dışında tutmasına olanak tanıyan yeni bir WhatsApp güvenlik açığı buldu.
Güvenlik araştırmacıları, WhatsApp'ta daha fazla kullanıcıyı harekete geçirebilecek yeni bir güvenlik açığı buldu. Facebook'un sahip olduğu mesajlaşma servisinden çık. Kötü niyetli aktörler, sizi süresiz olarak WhatsApp hesabınızdan kilitlemek için bu güvenlik açığından kolayca yararlanabilirler ve bu durum, messenger'ın 2 milyardan fazla kullanıcısı için küçük bir rahatsızlıktan daha fazlası haline gelebilir. Ama en kötü kısmı bu değil.
Araştırmacılar Luis Márquez Carpintero ve Ernesto Canales Pereña'ya göre (aracılığıyla Forbes), saldırganların bu güvenlik açığından yararlanabilmesi için herhangi bir özel yazılıma veya eğitime gerek yoktur. Yalnızca telefon numaranıza erişmeleri gerekiyor. Bunu aldıktan sonra, fazla çaba harcamadan sizi WhatsApp hesabınızdan kilitleyebilirler. Ve işte nasıl çalışıyor?
WhatsApp, yeni bir cihazda oturum açtığınızda iki faktörlü kimlik doğrulama gerektirir. Bunun için servis, doğrulama amacıyla telefon numaranıza altı haneli bir kod gönderir. Birkaç kez yanlış kod girmeniz durumunda WhatsApp, hesabınızı otomatik olarak 12 saat süreyle askıya alır.
Saldırganlar, WhatsApp'ı yeni bir cihaza yükleyerek, telefon numaranızı girerek ve tekrar tekrar yanlış kodu girerek bu iki faktörlü kimlik doğrulama sisteminden yararlanabilirler. Bu, önümüzdeki 12 saat boyunca yeni bir cihazda oturum açmanızı engelleyecek olsa da mevcut WhatsApp kurulumunuzu etkilemeyecektir. İstenildiği gibi çalışmaya devam edecek.
Yeni bir cihazda süresiz olarak oturum açmanızı önlemek için, saldırganın yukarıda belirtilen adımları yalnızca üç kez tekrarlaması gerekir. Üçüncü 12 saatlik döngüde, uygulamanın askıya alma zamanlayıcısı kesilecek ve bunun yerine "-1 saniye" zamanlayıcısını göstermeye başlayacak. Bu hata ortaya çıktığında WhatsApp yeni bir cihazda oturum açmanıza hiçbir şekilde izin vermeyecektir. Ancak mevcut yüklemeniz çalışmaya devam edecektir. Ancak istismar burada bitmiyor çünkü etkisini büyük ölçüde artırmak için ileriye doğru zincirlenebiliyor.
Saldırganın son hamlesi mevcut kurulumunuzu da bozar ve hesabınız kalıcı olarak kilitlenir. Bunun için saldırganın tek yapması gereken, WhatsApp'a bir e-posta göndererek hizmetten telefon numaranızı devre dışı bırakmasını istemektir. WhatsApp, saldırgandan numarayı onaylamasını isteyen otomatik bir yanıt gönderebilir ve saldırgan onayladıktan sonra WhatsApp, bilginiz olmadan hesabınızı otomatik olarak devre dışı bırakır.
Mevcut WhatsApp kurulumunuz aniden çalışmayı durduracak ve aşağıdaki bildirimi göreceksiniz: "Telefon numaranız artık bu telefonda WhatsApp'a kayıtlı değil. Bunun nedeni, onu başka bir telefona kaydetmiş olmanız olabilir. Bunu yapmadıysanız, hesabınıza tekrar giriş yapmak için telefon numaranızı doğrulayın." Artık telefon numaranızı doğrulamaya çalıştığınızda "-1 saniye" askıya alma zamanlayıcısını göreceksiniz ve hiçbir şekilde giriş yapamayacaksınız.
Bu saldırının herhangi bir karmaşıklığı olmadığından, telefon numaranıza erişimi olan herhangi biri sizi birkaç gün içinde kolayca WhatsApp hesabınızdan kilitleyebilir. Bu nedenle WhatsApp'ın bu göze çarpan soruna bir an önce çözüm bulması gerekiyor.
Messenger bu sorunla ilgili olarak zaten uyarıldı. Açıklamaya yanıt olarak bir WhatsApp sözcüsü şunları söyledi: Forbes O "İki adımlı doğrulamanızla birlikte bir e-posta adresi sağlamak, müşteri hizmetleri ekibimizin, bu beklenmedik sorunla karşılaşan kişilere yardımcı olmasına yardımcı olur." WhatsApp'ın bunu "olası olmayan" bir sorun olarak görmesi, birçok kullanıcının hizmetten uzaklaşması için yeterli sebep olmalı. Üstelik sözcü, bu istismara teşebbüs edenlerin WhatsApp'ın hizmet şartlarını ihlal edeceğini de sözlerine ekledi. Sanki bu, tüm bilgisayar korsanlarını korkutacak ve şakacıların şüphelenmeyen bir kullanıcı üzerinde bu istismarı denemesini önleyecekmiş gibi.
Okurlarımızı bu güvenlik açığından yararlanmamaya çağırıyoruz; WhatsApp'ın hizmet şartlarını ihlal etmek sizi hapse attıracağı için değil, bunun oldukça boktan bir şey olduğu için. Ayrıca, sonunda farklı bir hizmete geçmeye hazırsanız, şu sayfamıza göz atın: WhatsApp alternatifleri hakkında ayrıntılı kılavuz bu, başka bir platforma geçmenin tüm artılarını ve eksilerini vurguluyor.