WhatsApp’ta Hesapların Kapatılmasına Yol Açan Güvenlik Açığı

Dünyanın en tanınan anlık iletileşme uygulamalarından bir tanesi olan WhatsApp‘ta çok enteresan bir güvenlik zafiyeti tespit edildi. Kullanıcıların tümünü etkileyen bu sorun, bir hesabın çarçabuk devre dışı bırakılmasını sağlıyor. Üstelik bu sürecin geri dönüşü de olmayabiliyor. Pekala bu güvenlik açığı nasıl çalışıyor ve kullanıcılar için neden bu kadar riskli?

Luis Marquez Carpintero ve Ernesto Canales Perena isimli iki siber güvenlik uzmanı tarafından keşfedilen güvenlik açığı, WhatsApp’ın hesap doğrulama sistemlerinin “başını karıştırıyor“. Bu da bir müddet sonra kullanıcı hesabının kilitlenmesine yol açıyor. Olayın daha da farklı yanı ise bu atağa maruz kalmak için, telefon numarasının bilinmesi kâfi oluyor.

WhatsApp hesaplarının kapatılmasına yol açacak güvenlik açığı şöyle çalışıyor

Bir saldırgan, kendi telefonuna WhatsApp uygulaması kurduktan sonra amaçtaki kullanıcının numarasını girerek, doğrulama kodu göndertmeye çalışıyor. Belli bir sayıda gönderilen talepten sonra WhatsApp harekete geçiyor ve 12 saatlik doğrulama kodu yasağı getiriyor. Saldırgan, bu süreçte kullanıcının ismine bir e-posta hesabı açarak, WhatsApp’ın dayanak ünitesi ile irtibata geçiyor. Bu e-postada hesabının ele geçirildiğini söyleyen saldırgan, aslında diğer birisine ilişkin olan bir WhatsApp hesabı için kapatma talebinde bulunuyor.

Süreç devam ederken, 12 saatlik doğrulama kodu yasağı sona eriyor. Saldırgan, üst paragrafta anlattığımız şeyleri iki sefer daha tekrarlayarak, yani toplamda 36 saatlik süreçte bir hesabın kapatılmasını sağlamış oluyor. Buradaki güvenlik açığının kaynağı ise WhatsApp’a gönderilen e-postanın nitekim o kullanıcıya ilişkin olup olmadığının sorgulanmamış olması. Yani WhatsApp, rastgele bir denetim düzeneğini devreye sokmadan kullanıcının hesap kapatma talebini sürece koymuş oluyor.

Bu akından korunmak için ne yapmalı?

Aslına bakacak olursak bu cins bir hücumdan korunabilmek için yapabileceğiniz pek de bir şey bulunmuyor. Fakat bir WhatsApp sözcüsünün de söylemiş olduğu üzere iki faktörlü kimlik doğrulamayı etkinleştirmek ve WhatsApp hesabınıza bir e-posta hesabı eklemek bu tıp bir taarruzdan korunmanızı sağlayabilir. Yalnız, üstte bahsettiğimiz güvenlik açığının yeniden de iki faktörlü kimlik doğrulaması faal olan hesapları da etkilediği bildiriliyor.

WhatsApp iki faktörlü kimlik doğrulama etkinleştirme

  • WhatsApp’a giriş yapın.
  • Ayarlar menüsüne gidin.
  • Hesap‘a tıklayın.
  • İki adımlı doğrulama” seçeneğine dokunun. Akabinde da “ETKİNLEŞTİR” yazan butona dokunun.
  • Sizden 6 haneli bir kod istenecek. Bu kodu kendinize nazaran belirleyip, doğrulayın.
  • e-posta adresinizi girin ve doğrulama sürecini gerçekleştirin.