WhatsApp hesaplarını tehlikeye atan güvenlik açığı!

Saldırganların, WhatsApp hesabınızı uzaktan devre dışı bırakabilmesini kolaylaştıran bir zafiyet ortaya çıktı. Siber güvenlik araştırmacıları Luis Márquez Carpintero ve Ernesto Canales tarafından aktarılan bilgilere göre, hesabınızı kapattırmak isteyen bir kişinin telefon numaranızı bilmesi yetiyor. Üstelik WhatsApp’ın iki faktörlü kimlik doğrulama korumasının bile bunu önleyemediği belirtiliyor.

Saldırganların, WhatsApp hesabınızı uzaktan devre dışı bırakabilmesini kolaylaştıran bir zafiyet ortaya çıktı. Siber güvenlik araştırmacıları Luis Márquez Carpintero ve Ernesto Canales tarafından aktarılan bilgilere göre, hesabınızı kapattırmak isteyen bir kişinin telefon numaranızı bilmesi yetiyor. Üstelik WhatsApp’ın iki faktörlü kimlik doğrulama korumasının bile bunu önleyemediği belirtiliyor.

Saldırganların, WhatsApp hesabınızı uzaktan devre dışı bırakabilmesini kolaylaştıran bir zafiyet ortaya çıktı. Siber güvenlik araştırmacıları Luis Márquez Carpintero ve Ernesto Canales tarafından aktarılan bilgilere göre, hesabınızı kapattırmak isteyen bir kişinin telefon numaranızı bilmesi yetiyor. Üstelik WhatsApp’ın iki faktörlü kimlik doğrulama korumasının bile bunu önleyemediği belirtiliyor.

Numaranızı bilen bir kişi WhatsApp hesabınızı kapattırabilir

Forbes dergisinin açığa çıkardığı yeni saldırı yönteminin işleyişi şöyle:

Bildiğiniz gibi WhatsApp’ta kullanıcı adı ve şifre yok. Uygulamayı mağazadan yükleyip giriş yapmak istediğinizde, sizden istenen yere numaranızı yazmanız gerekiyor. Akabinde telefonunuza SMS olarak bir kod geliyor ve onu uygulamadaki ilgili kısma girip hesabınızı doğruluyorsunuz.

Bu doğrulama sürecine WhatsApp tarafından koyulan belli başlı sınırlamalar var. Örneğin bir kullanıcı doğrulama kodunu 4-5 defa yanlış girerse artık yenisini isteyemiyor. Kademeli olarak 60 dakika, 6 ve 12 saat beklemesi gerektiğini söyleyen bir uyarıyla karşılaşıyor. İşte, aylık 1 milyardan fazla kullanıcının hesabını tehlikeye atan problem tam da burada başlıyor.

Numaranızı bilen kötü niyetli bir kişi, sizin adınıza WhatsApp’tan defalarca kod istiyor. Tabii o kodlar sizin telefonunuza ulaşıyor ancak bundan haberiniz olmadığı için doğal olarak göz ardı ediyorsunuz. Elinizden hiçbir şey gelmiyor. Bu esnada saldırgan güvenlik kodlarını rastgele girmeye devam ediyor, doğru yazamadığı için de WhatsApp onu kabul etmiyor. Bir süre sonra platformun güvenlik duvarı aktifleşiyor. Saldırganın karşısına, yeni bir kod istemek için 12 saat beklemesi gerektiğini söyleyen bir uyarı çıkıyor.

Bunu gören saldırgan ise hâlâ sınırları zorlamaya devam ediyor. WhatsApp destek ekibine support@whatsapp.com maili aracılığıyla ulaşarak, “Merhaba, xxxx numaralı hesabım çalındı. Lütfen hesabımı kapatın.” minvalinde bir mesaj gönderiyor. WhatsApp destek ekibi ise bunu hiç sorgulamadan, maili gönderen kişinin gerçekliğini doğrulamadan hemen ilgili numaraya ait hesabı devre dışı bırakıyor.

Yani özetle: Sizin adınıza güvenlik kodu isteyip defalarca yanlış giren saldırgan, yetmezmiş gibi WhatsApp destek ekibinden yine sizin adınıza yardım istiyor. Numaranıza ait hesabın kapatılmasını talep ediyor. İşin ilginç yanı ise, destek ekibinin bu “yardım” talebini sorgusuz sualsiz kabul etmesi.

Bu sorunla karşılaşanlar ne yapacak?

Saldırıya maruz kalan kullanıcıların karşısına aniden “Numaranız artık bu telefonda kayıtlı değil.” şeklinde bir uyarı mesajı çıkıyor. Mağdur telefonunu yeniden doğrulamaya çalıştığında ise WhatsApp izin vermiyor. Aynı numara için defalarca yanlış kod girilmesi nedeniyle 12 saat beklemesi gerektiğini söylüyor. 24 saate kadar da çıkabilen bu süre bazen sınırsız hale gelebiliyor. Bir başka deyişle, mağdur hesabını artık doğrulayamıyor.

Forbes’in siber güvenlik yazarı Zak Doffman, böyle bir problemle karşı karşıya kalanların ne yapması gerektiğiyle ilgili birkaç bilgi paylaştı. Doffman, mağdurların WhatsApp destek ekibinden yardım istemeleri gerektiğini söyledi. Ancak bunun bile kesin çözüm olmadığını dile getiren Doffman, kullanıcılara dikkat etmeleri gerektiğine dair uyarı yaptı.

Bir WhatsApp sözcüsü Zak Doffman’a gönderdiği e-postada, söz konusu saldırı yönteminin “hizmet şartları ihlali” olduğunu açıkladı. Ancak sözcü, saldırının kesin çözümüyle ilgili yorum yapmadı.

 
 

Yazar Adnan Güney

Samsun-Turkey doğumlu. 1989-2005 Temsa Mitsubishi Sabancı Otomotiv grubunda çalıştı. Araştırma, Geliştirme, Web siteleri ile uğraşma ve Paylaşımı seven biri.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kötü niyetli kullanıcılar, kalıcı tehdit grupları (APT) tarafından kullanılan bazı gelişmiş teknikleri kendi tekniklerine uyarlamanın son derece işe yaradığını keşfetti. Kaspersky araştırmacılarına göre dikkat edilmesi gereken bir diğer hedefli tehdit ise kuruluş ve çalışanlarına zarar verme ve kar elde etme amaçlı olarak hayata geçirilen gizli bilgi toplama süreci olan kurumsal doxing.

Doxing Tehdidi Hedefli E-posta Saldırıları Yükselişte

Google, 2012 yılında hayata geçirilen Google Play Filmler ve TV uygulaması ile ilgili kullanıcılarına bir iyi, bir de kötü haber paylaştı. Android işletim sistemi için hizmet vermeye başlayan ve şu anda Chrome, Roku ve iOS gibi platformlarda da kullanılabilen servisin fişi çekiliyor. Ancak şirket buradaki verileri YouTube‘a taşımaya karar verdi.

Popüler Google uygulaması YouTube ile birleşiyor!