محققان امنیتی یک ضعف جدید در واتساپ پیدا کردن که میتونه باعث | TechTube 𝕏 تک توب
محققان امنیتی یک ضعف جدید در واتساپ پیدا کردن که میتونه باعث حذف اکانت بیش از 2 میلیارد کاربر واتساپ بشه. این ضعف در سیستم ثبت نام مجدد شماره موبایل در واتساپ پیدا شده که مهاجم تنها با دونستن شماره موبایل قربانی میتونه باعث حذف اکانتش بشه!
در این پروسه مهاجم شماره قربانی رو برای ثبت نام مجدد در واتساپ وارد میکنه که برای شماره موبایل قربانی یک کد ارسال میشه اما چون مهاجم به موبایل قربانی دسترسی نداره نمیتونه ثبت نام کنه. ولی مهاجم به طور مرتب درخواست ارسال مجدد کد میکنه. تا جایی که واتساپ درخواست ارسال کد رو برای اون شماره برای 12 ساعت غیرفعال میکنه. اما مهاجم باز هم دست از کار نمیکشه و بعد از گذر 12 ساعت، کماکان دوباره به طور مرتب اقدام به درخواست مجدد کد میکنه. این مورد تا جایی پیش میره که واتساپ میگه باید برای -1 ساعت صبر کرد، که معنای اون غیرفعال شدن امکان درخواست کد برای مدت طولانی و نامشخصی هست.
واتساپ قربانی در این حین کماکان کار میکنه. اما اگر بخواد ثبت نام مجدد کنه امکان ساخت اکانت با اون شماره رو دیگه نداره.
تا اینجا ضرر انچنانی به قربانی وارد نشده. اما مهاجم پا رو فراتر میزاره و با ایمیلش یک ایمیل با عنوان درخواست دی اکتیو یا غیرفعال کردن شماره قربانی برای واتساپ میفرسته. در جواب، واتساپ یک ایمیل به طور خودکار ارسال میکنه و از مهاجم میخواد شماره قربانی رو تایید کنه. یعنی دوباره شماره رو بفرسته. بعد از انجام اینکار توسط مهاجم، واتساپ درخواست دی اکتیو کردن اکانت قربانی رو شروع میکنه!
به همین راحتی اکانت واتساپ شروع به دی اکتیو شدن میکنه و واتساپ قربانی از کار میافته. در این حین واتساپ به قربانی میگه برای استفاده مجدد از اکانت لازمه دوباره شماره اش رو ثبت کنه. اما وقتی قربانی میخواد اینکارو بکنه و کدهایی که واتساپ براش میفرسته رو وارد میکنه، اون کدها کار نمیکنن، چون مهاجم قبلا اون قسمت رو از کار انداخته. در نتیجه قربانی برای مدت طولانی و نامعلومی دسترسیش رو اکانت واتساپش از دست میده.
واتساپ گفته برای مشکل دوم، کاربران باید تایید دو مرحله ای رو فعال و در اون پروسه ایمیل خودشون رو وارد کنن. اما در کمال تعجب برای مشکل اول و کاربرانی که تایید دو مرحله ای رو فعال نکردن، این شرکت گفته قرار نیست این مشکل رو حل کنه چون احتمال وقوع چنین حمله ای کم هست و چنین کاری خلاف قوانین واتساپ هست که بسیار توجیه بدی چون هکرها قانون حالیشون نمیشه و انجام چنین حمله ای کار بسیار راحتی هست!
در نتیجه توصیه میشه حتما تایید دو مرحله ای اکانتتون رو فعال کنید و ایمیلتون رو وارد کنید.
