Dünyanın en tanınan anlık iletileşme uygulamalarından bir tanesi olan WhatsApp‘ta çok değişik bir güvenlik zafiyeti tespit edildi. Kullanıcıların tümünü etkileyen bu sorun, bir hesabın çarçabuk devre dışı bırakılmasını sağlıyor. Üstelik bu sürecin geri dönüşü de olmayabiliyor. Pekala bu güvenlik açığı nasıl çalışıyor ve kullanıcılar için neden bu kadar riskli?
Luis Marquez Carpintero ve Ernesto Canales Perena isimli iki siber güvenlik uzmanı tarafından keşfedilen güvenlik açığı, WhatsApp’ın hesap doğrulama sistemlerinin “başını karıştırıyor“. Bu da bir müddet sonra kullanıcı hesabının kilitlenmesine yol açıyor. Olayın daha da enteresan yanı ise bu akına maruz kalmak için, telefon numarasının bilinmesi kâfi oluyor.
WhatsApp hesaplarının kapatılmasına yol açacak güvenlik açığı şöyle çalışıyor
Bir saldırgan, kendi telefonuna WhatsApp uygulaması kurduktan sonra amaçtaki kullanıcının numarasını girerek, doğrulama kodu göndertmeye çalışıyor. Makul bir sayıda gönderilen talepten sonra WhatsApp harekete geçiyor ve 12 saatlik doğrulama kodu yasağı getiriyor. Saldırgan, bu süreçte kullanıcının ismine bir e-posta hesabı açarak, WhatsApp’ın takviye ünitesi ile irtibata geçiyor. Bu e-postada hesabının ele geçirildiğini söyleyen saldırgan, aslında öteki birisine ilişkin olan bir WhatsApp hesabı için kapatma talebinde bulunuyor.
Süreç devam ederken, 12 saatlik doğrulama kodu yasağı sona eriyor. Saldırgan, üst paragrafta anlattığımız şeyleri iki defa daha tekrarlayarak, yani toplamda 36 saatlik süreçte bir hesabın kapatılmasını sağlamış oluyor. Buradaki güvenlik açığının kaynağı ise WhatsApp’a gönderilen e-postanın nitekim o kullanıcıya ilişkin olup olmadığının sorgulanmamış olması. Yani WhatsApp, rastgele bir denetim düzeneğini devreye sokmadan kullanıcının hesap kapatma talebini sürece koymuş oluyor.
Bu taarruzdan korunmak için ne yapmalı?
Aslına bakacak olursak bu çeşit bir akından korunabilmek için yapabileceğiniz pek de bir şey bulunmuyor. Lakin bir WhatsApp sözcüsünün de söylemiş olduğu üzere iki faktörlü kimlik doğrulamayı etkinleştirmek ve WhatsApp hesabınıza bir e-posta hesabı eklemek bu cins bir taarruzdan korunmanızı sağlayabilir. Yalnız, üstte bahsettiğimiz güvenlik açığının tekrar de iki faktörlü kimlik doğrulaması etkin olan hesapları da etkilediği bildiriliyor.
WhatsApp iki faktörlü kimlik doğrulama etkinleştirme
- WhatsApp’a giriş yapın.
- Ayarlar menüsüne gidin.
- Hesap‘a tıklayın.
- “İki adımlı doğrulama” seçeneğine dokunun. Akabinde da “ETKİNLEŞTİR” yazan butona dokunun.
- Sizden 6 haneli bir kod istenecek. Bu kodu kendinize nazaran belirleyip, doğrulayın.
- e-posta adresinizi girin ve doğrulama sürecini gerçekleştirin.
Kaynak: Webtekno