واتساپ محبوب ترین پیام رسان جهان است و سازندگانش از امنیت بالای آن خبر میدهند. اما حالا دو محقق نقص امنیتی را پیدا کردهاند که مهاجمان از طریق آن و توسط شماره تلفن میتوانند حساب کاربران را معلق و قفل کنند.
طبق گزارشی جدیدی، مهاجم روی یک دستگاه جدید برنامه واتساپ را نصب کرده و شماره تلفن کاربر را برای فعالسازی آن وارد میکند. از آنجایی که احراز هویت دو مرحله ای درخواست ورود به حساب را به گوشی کاربر اصلی ارسال میکند، مهاجم نمیتواند وارد حساب شود. با این حال مهاجم با وارد کردن کد اشتباه برای چندین بار، حساب شما را برای مدت ۱۲ ساعت معلق یا قفل میکند.
شاید تا اینجای کار مشکلی نباشد و تصور کنید بعد از ۱۲ ساعت همه چیز به حالت عادی بازمیگردد، اما مهاجمان همچنان به تلاش خود ادامه میدهند. مهاجم از طریق ایمیلش یک پیام برای واتساپ میفرستد و ادعا میکند که گوشی وی گم یا دزدیده شده و حساب متعلق به آن باید غیرفعال شود.
واتساپ با ارسال یک ایمیل چنین درخواستی را تایید کرده و حساب کاربر بدون اینکه دخالتی در فرایند داشته باشد، معلق میشود. مهاجم چندین بار این روند را تکرار میکند و تقریبا بطور دائمی حساب شما قفل میشود و دیگر امکان دسترسی به آن وجود ندارد.
این حمله اگرچه میتواند برای کاربر دردسر ایجاد کند، اما حداقل امکان کنترل حساب توسط مهاجمان وجود ندارد. در حقیقت کاربر دیگر نمیتواند به حسابش دسترسی داشته باشد، اما پیامها یا مخاطبینش در اختیار مهاجمان قرار نمیگیرد.
در حال حاضر نشانهای مبنی بر سوءاستفاده گسترده از این نقص امنیتی وجود ندارد، با این حال واتساپ اشارهای به رفع این مشکل نکرده است. سخنگوی این پیامرسان اعلام کرده که ارائه یک آدرس ایمیل به همراه احراز هویت دو مرحلهای میتواند مانع از بروز چنین حملهای شود. با این وجود، واتساپ باید به دنبال چارهای برای این نقص باشد، حتی اگر مهاجمان کمی از آن سوءاستفاده کنند.
منبع: دیجیاتو
نظرات کاربران