ثغرة خطيرة في "واتساب" تسمح للمهاجم بإغلاق حسابك 

13 ابريل 2021
عملية وقف الحساب طويلة (تياغو برودينسيو/Getty)
+ الخط -

تسمح ثغرة جديدة في نظام مصادقة تطبيق الدردشة "واتساب" للمهاجم بإغلاق حساب الضحية في التطبيق من خلال إلغاء تنشيطه.

وفي وقت سابق من هذا الأسبوع، شارك الباحثان الأمنيان لويس ماركيز كاربينتيرو وإرنستو كاناليس بيرينا اكتشافهما لهذا الخلل من خلال مقال في مجلة "فوربس"

وبعد تثبيت "واتساب"، يحاول المهاجم تسجيل الدخول من خلال رقم الضحية، عن طريق طلب رموز المصادقة. ويحظر "واتساب" إرسال الرموز لمدة 12 ساعة بعد عدد معين من المحاولات.

في هذه الأثناء، يُنشئ المهاجم بريداً إلكترونياً جديداً ويرسل رسالة "هاتف مفقود/مسروق" إلى قسم الدعم في "واتساب" من أجل إلغاء تنشيط الحساب المستهدف.

ولا يتحقق دعم "واتساب" حقاً مما إذا كان عنوان البريد الإلكتروني مرتبطاً بحساب الضحية، لذلك يحجب الحساب. بعد ذلك، على المهاجم أن يكرر دورة 12 ساعة مرتين.

وفي نهاية هذه الدورات الثلاث، سيرى الضحية والمهاجم رسالة تقول "حاول مرة أخرى بعد -1 ثانية" أثناء محاولة تسجيل الدخول من خلال رقم الهاتف.

في هذه المرحلة، على متلقي الرسالة الاتصال بخدمة الدعم من "واتساب" من أجل استعادة هذا الحساب.

والعملية برمتها مرهقة لأنها تتطلب من المهاجم الكثير من الجهد من أجل حجب الضحية، ولا تؤدي هذه الطريقة إلى استخراج أي بيانات أو أموال.

لكن الجزء المقلق هو أنه لا توجد آلية، مثل تلقي كلمة المرور لمرة واحدة، في دعم "واتساب" تطلب إثبات هوية مالك الحساب.

بالإضافة إلى ذلك، تنجح هذه الطريقة في حظر دخول الضحية حتى إذا كان يستخدم نظام المصادقة ذات العاملين.

من جانبها، ردت إدارة "واتساب" في بيان بأن "توفير عنوان بريد إلكتروني مع عملية التحقق المكونة من خطوتين يساعد فريق خدمة العملاء لدينا في مساعدة الأشخاص في حالة مواجهة هذه المشكلة غير المحتملة".

ومن أجل تحقيق هذه الحماية، عليكم بالتوجه إلى تبويبة "الحساب" ثم "التحقق من خطوتين"، وبعد إدخال رقم التعريف الشخصي الآمن، يمكن تقديم بريد إلكتروني من أجل عمليات الاستعادة. 

وسوف يساعد البريد الإلكتروني هذا "واتساب" في التحقق من طلب المستخدم، لكن قد يضطر إلى إرسال بريد إلكتروني إلى دعم "واتساب" إذا تم حظر دخوله، وهذه أيضاً مشكلة.

المساهمون