Dünyanın en tanınan anlık iletileşme uygulamalarından bir tanesi olan WhatsApp‘ta çok değişik bir güvenlik zafiyeti tespit edildi. Kullanıcıların tümünü etkileyen bu sorun, bir hesabın çarçabuk devre dışı bırakılmasını sağlıyor. Üstelik bu sürecin geri dönüşü de olmayabiliyor. Pekala bu güvenlik açığı nasıl çalışıyor ve kullanıcılar için neden bu kadar riskli?
Luis Marquez Carpintero ve Ernesto Canales Perena isimli iki siber güvenlik uzmanı tarafından keşfedilen güvenlik açığı, WhatsApp’ın hesap doğrulama sistemlerinin “başını karıştırıyor“. Bu da bir müddet sonra kullanıcı hesabının kilitlenmesine yol açıyor. Olayın daha da değişik yanı ise bu akına maruz kalmak için, telefon numarasının bilinmesi kâfi oluyor.
WhatsApp hesaplarının kapatılmasına yol açacak güvenlik açığı şöyle çalışıyor
Bir saldırgan, kendi telefonuna WhatsApp uygulaması kurduktan sonra maksattaki kullanıcının numarasını girerek, doğrulama kodu göndertmeye çalışıyor. Belli bir sayıda gönderilen talepten sonra WhatsApp harekete geçiyor ve 12 saatlik doğrulama kodu yasağı getiriyor. Saldırgan, bu süreçte kullanıcının ismine bir e-posta hesabı açarak, WhatsApp’ın takviye ünitesi ile bağlantıya geçiyor. Bu e-postada hesabının ele geçirildiğini söyleyen saldırgan, aslında öteki birisine ilişkin olan bir WhatsApp hesabı için kapatma talebinde bulunuyor.
Süreç devam ederken, 12 saatlik doğrulama kodu yasağı sona eriyor. Saldırgan, üst paragrafta anlattığımız şeyleri iki kere daha tekrarlayarak, yani toplamda 36 saatlik süreçte bir hesabın kapatılmasını sağlamış oluyor. Buradaki güvenlik açığının kaynağı ise WhatsApp’a gönderilen e-postanın nitekim o kullanıcıya ilişkin olup olmadığının sorgulanmamış olması. Yani WhatsApp, rastgele bir denetim düzeneğini devreye sokmadan kullanıcının hesap kapatma talebini sürece koymuş oluyor.
Bu ataktan korunmak için ne yapmalı?
Aslına bakacak olursak bu tıp bir taarruzdan korunabilmek için yapabileceğiniz pek de bir şey bulunmuyor. Fakat bir WhatsApp sözcüsünün de söylemiş olduğu üzere iki faktörlü kimlik doğrulamayı etkinleştirmek ve WhatsApp hesabınıza bir e-posta hesabı eklemek bu çeşit bir ataktan korunmanızı sağlayabilir. Yalnız, üstte bahsettiğimiz güvenlik açığının tekrar de iki faktörlü kimlik doğrulaması etkin olan hesapları da etkilediği bildiriliyor.
WhatsApp iki faktörlü kimlik doğrulama etkinleştirme
