Popüler anlık mesajlaşma uygulaması WhatsApp’ın güvenlik sisteminde ciddi bir güvenlik açığı keşfedildi. Saldırganların bunu kullanmak için herhangi bir özel beceriye veya ekipmana ihtiyacı yoktu.
Gerçek şu ki, WhatsApp uzaktan hesap kilidi talep etme yeteneği sağlıyor. Bu, telefonun çalınması veya kaybolması durumunda kötüye kullanımı önlemek için yapılır.
WhatsApp destek belgeleri, kullanıcının “Kayıp/Çalıntı: Hesabımı devre dışı bırak” ifadesini ve tam uluslararası formatta bir telefon numarasını içeren bir e-posta göndermesi gerektiğini açıkça belirtir.
İdeal bir dünyada, bu sistem birden çok kullanıcı hesabına sahip bir hizmet için iyi çalışır. Ancak WhatsApp’ın milyarlarca kullanıcısı var ve dünyamız mükemmel olmaktan çok uzak.
Sorun ilk olarak ESET’ten siber güvenlik uzmanı Jake Moore tarafından fark edildi. Çok duygusal bir şekilde Twitter sayfasında şunları yazdı:
O halde şunu düzelteyim, @WhatsApp, HERHANGİ bir numara girebilirim ve bu hesabı devre dışı bırakır mısınız?
İdeal bir dünyada yaşamadığımızı da haklı olarak belirtiyor. Ayrıca, WhatsApp’taki sistem tamamen otomatiktir ve e-postayı gönderenin hesabın gerçek sahibi olup olmadığını kontrol etmez. Bu nedenle, telefon numaranızı bilen birinin nasıl yedek bir e-posta adresi oluşturabileceğini ve hesabınızın devre dışı bırakılmasını arkanızdan talep edebileceğini hayal etmek kolaydır.
Buna ek olarak, saldırganlar sistemi kullanarak WhatsApp hesaplarını rastgele devre dışı bırakabilir ve kurbanlardan erişimi yeniden sağlamak için fidye talep edebilir.
Neyse ki, şirket hatayı fark etmiş görünüyor. Veya belki de müstehcen miktarda devre dışı bırakma talebi aldılar. Şu anda, anında hesap devre dışı bırakma devre dışı. Böyle bir saldırının kurbanıysanız, destek belgeleri, devre dışı bırakılan hesapları ve tüm okunmamış mesajları 30 gün içinde geri yükleyebileceğinizi açıkça belirtir. Ancak acele edin:
Hesabınızı 30 gün içinde etkinleştirmezseniz kalıcı olarak silinecektir.