واتساپ در حال حاضر با یک مسئله امنیتی بزرگ دست و پنجه نرم می کند و به نظر نمی آید در این زمینه رفع این مشکل کار خاصی انجام دهد. این برنامه اخیراً حواشی زیادی با خود به همراه داشته است. یکی از این حواشی پس از اعلام سیاست جدید حریم خصوصی که نیازمند اتصال حساب ها به فیس بوک ایجاد شد. به نظر می رسد که حواشی ناشی از اعلام سیاست حریم خصوصی تنها مشکلی نیست که واتساپ با آن دست و پنجه نرم می کند. کشف یک نقص امنیتی بزرگ نیز مزید بر علت شده است. همراه چیکاو باشید.
کشف مشکل امنیتی واتساپ توسط دو محقق فوربس
دو محقق موفق به کشف یک نقص امنیتی (از طریق فوربس) شده اند که به مهاجمین اجازه می دهد حساب کاربری WhatsApp قربانیان را غیر فعال کنند. نحوه کار بدین صورت است که در ابتدا هکرها برنامه واتساپ را بر روی گوشی جدیدی نصب کرده و با استفاده از شماره تلفن قربانی اقدام به ساخت حساب کاربری می کنند. خب واتساپ برای احراز هویت کاربران کد تایید دو مرحله ای را برای شماره تلفن می فرستد. خب طبیعی است که کد برای فرد مهاجم ارسال نمی شود. پس فرد مهاجم بارها و بارها این کار را انجام می دهد تا در نهایت اکانت واتساپ قربانی به مدت 12 حالت تعلیق در بیاید.
اینجاست که کار اصلی مهاجم شروع می شود. هکر با ارسال ایمیلی به پشتیبانی واتساپ ادعا می کند که گوشی وی به سرقت رفته و یا مسدود شده است. و بعد از آن با ارسال درخواستی از واتساپ می خواهد که اکانت مربوط به شماره قربانی را مسدود و حذف کند.
واتساپ هم حساب کاربری شما را مسدود کرده و دیگر به فایل ها و چت های خود دسترسی نخواهید داشت. به همین سادگی کاربران قربانی این باگ واتساپ می شوند.
یکی از مشکلات بزرگ این نقص امنیتی که ظاهراً حتی با احراز هویت دو عاملی نیز پابرجا است مربوط به مشکل 2FA مبتنی بر پیام کوتاه است. فوربس از واتساپ در مورد این آسیب پذیری سوال کرد، اما هیچ نشانه ای مبنی بر رسیدگی تیم پشتیبانی واتساپ به این مسئله وجود ندارد.
آیا راه حلی برای مقابله با این مشکل وجود دارد؟
بنابراین چه کاری می شود انجام داد تا مطمئن شد این اتفاق برای ما تکرار نشود؟ اگرچه متأسفانه این روش در برابر حملات ناشی از باگ 2FA مقاوم نیست، اما همچنان می تواند مفید باشد.
نکته این روش در چگونگی فعال کردن احراز هویت دو عاملی در WhatsApp در Android است. شما موقع فعال کردن احراز هویت دو مرحله ای باید ایمیل معتبر خود را نیز وارد کنید. واتساپ می گوید که کاربران باید آدرس ایمیل معتبر خود را به پروفایل کاربری خود اضافه کنند تا اگر کاربری در معرض چنین حمله ای قرار گرفت بتواند جان سالم به در ببرد. با این اوصاف، وجود این نقص امنیتی بسیار مشکل ساز است.
البته گزینه دیگری هم وجود دارد و آن انتقال چت های واتساپ شما به تلگرام یا حتی سیگنال است.