Popüler anlık mesajlaşma uygulaması WhatsApp’ta güvenlik açığı ortaya çıktı. Bu güvenlik açığı, hesabınızın uzaktan devre dışı bırakabilmesini kolaylaştırıyor. İşte detaylar:
Telefon numaranızın bilinmesi yetiyor
WhatsApp hesabınızı uzaktan devre dışı bırakabilecek bir güvenlik açığı ortaya çıktı. Güvenlik uzmanları tarafından aktarılan bilgilere göre siber zorbaların hesabınızı kapatması için numaranızı bilmesi yetiyor. Üstelik uygulamanın iki faktörlü kimlik doğrulama korumasının bile bunu önleyemediği söyleniyor.
Bu sorunla karşılaşan kullanıcıların karşısına “Numaranız artık bu telefonda kayıtlı değil.” şeklinde bir mesaj gelmekte. Numaranızı tekrar doğrulamaya çalıştığınızda ise WhatsApp izin vermiyor. Bu doğrulamayı defalarca denemeniz halinde birden fazla yanlış kod girilmesi nedeniyle 12 saat beklemesi gerektiğini söylüyor. WhasApp, saldırı yönteminin “hizmet şartları ihlali” olduğunu açıkladı. Ancak şirket saldırının kesin çözümüyle ilgili yorum yapmadı.
Forbes dergisinin açığa çıkardığı yeni saldırı yönteminin işleyişi ise şu şekilde:
Bildiğiniz gibi WhatsApp’ta kullanıcı adı ve şifre yok. Uygulamayı mağazadan yüklemek ve giriş yapmak istediğinizde, talep edilen yere numaranızı yazmanız gerekmektedir. Ardından telefon kodunuza bir SMS gelip uygulamanın ilgili bölümüne girerek hesabınızı doğrulamış olursunuz.
WhatsApp’ın bu doğrulama sürecine getirdiği bazı sınırlamalar vardır. Örneğin bir kullanıcı doğrulama kodu 4-5 kez yanlış yaparsa artık yenisini isteyemez. Yavaş yavaş 60 dakika, 6 ve 12 saniye Beklemesini söyleyen bir uyarı alır. Aylık 1 milyardan fazla kullanıcının hesaplarını tehlikeye atan sorunun başladığı yer burasıdır.
Numaranızı bilen kötü niyetli bir kişi, sizin adınıza WhatsApp’ı defalarca duymuştur. kod istiyor. Elbette bu kodlar telefonunuza ulaşıyor ama doğal olarak bilmediğiniz için görmezden geliyorsunuz. Hiçbir şey yapamazsınız. Bu arada saldırgan güvenlik kodlarını kullanabilir. rasgele girmek için Devam ediyor, WhatsApp doğru yazamadığı için kabul etmiyor. Bir süre sonra platformun güvenlik duvarı aktif hale gelir. Saldırganın önünde yeni bir kod istemek için 12 saniye beklemenizi söyleyen bir uyarı açılır.
Bunu gören saldırgan, sınırları zorlamaya devam ediyor. WhatsApp destek ekibine [e-posta korumalı] e-posta yoluyla ulaşarak, “Merhaba, xxxx hesap numaram çalındı. Lütfen hesabımı kapatın. “ Bir mesaj gönderiyor. WhatsApp destek ekibi ise bunu sorgulamadan ve postayı gönderen kişinin gerçekliğini doğrulamadan hemen sıra dışı çıkıyor .
