Dünyanın en popüler anlık mesajlaşma uygulamalarından bir tanesi olan WhatsApp'ta çok ilginç bir güvenlik zafiyeti tespit edildi. Kullanıcıların tümünü etkileyen bu sorun, bir hesabın kolaylıkla devre dışı bırakılmasını sağlıyor. Üstelik bu işlemin geri dönüşü de olmayabiliyor. Peki bu güvenlik açığı nasıl çalışıyor ve kullanıcılar için neden bu kadar riskli?
Luis Marquez Carpintero ve Ernesto Canales Perena isimli iki siber güvenlik uzmanı tarafından keşfedilen güvenlik açığı, WhatsApp'ın hesap doğrulama sistemlerinin "kafasını karıştırıyor". Bu da bir süre sonra kullanıcı hesabının kilitlenmesine yol açıyor. Olayın daha da ilginç yanı ise bu saldırıya maruz kalmak için, telefon numarasının bilinmesi yeterli oluyor.
WhatsApp hesaplarının kapatılmasına yol açacak güvenlik açığı şöyle çalışıyor
Bir saldırgan, kendi telefonuna WhatsApp uygulaması kurduktan sonra hedefteki kullanıcının numarasını girerek, doğrulama kodu göndertmeye çalışıyor. Belirli bir sayıda gönderilen talepten sonra WhatsApp harekete geçiyor ve 12 saatlik doğrulama kodu yasağı getiriyor. Saldırgan, bu süreçte kullanıcının adına bir e-posta hesabı açarak, WhatsApp'ın destek birimi ile iletişime geçiyor. Bu e-postada hesabının ele geçirildiğini söyleyen saldırgan, aslında başka birisine ait olan bir WhatsApp hesabı için kapatma talebinde bulunuyor.
Süreç devam ederken, 12 saatlik doğrulama kodu yasağı sona eriyor. Saldırgan, üst paragrafta anlattığımız şeyleri iki kez daha tekrarlayarak, yani toplamda 36 saatlik süreçte bir hesabın kapatılmasını sağlamış oluyor. Buradaki güvenlik açığının kaynağı ise WhatsApp'a gönderilen e-postanın gerçekten o kullanıcıya ait olup olmadığının sorgulanmamış olması. Yani WhatsApp, herhangi bir kontrol mekanizmasını devreye sokmadan kullanıcının hesap kapatma talebini işleme koymuş oluyor.
Bu saldırıdan korunmak için ne yapmalı?
Aslına bakacak olursak bu tür bir saldırıdan korunabilmek için yapabileceğiniz pek de bir şey bulunmuyor. Ancak bir WhatsApp sözcüsünün de söylemiş olduğu gibi iki faktörlü kimlik doğrulamayı aktifleştirmek ve WhatsApp hesabınıza bir e-posta hesabı eklemek bu tür bir saldırıdan korunmanızı sağlayabilir. Yalnız, yukarıda bahsettiğimiz güvenlik açığının yine de iki faktörlü kimlik doğrulaması aktif olan hesapları da etkilediği bildiriliyor.
WhatsApp iki faktörlü kimlik doğrulama aktifleştirme
- WhatsApp'a giriş yapın.
- Ayarlar menüsüne gidin.
- Hesap'a tıklayın.
- "İki adımlı doğrulama" seçeneğine dokunun. Ardından da "ETKİNLEŞTİR" yazan butona dokunun.
- Sizden 6 haneli bir kod istenecek. Bu kodu kendinize göre belirleyip, doğrulayın.
- e-posta adresinizi girin ve doğrulama işlemini gerçekleştirin.