ثغرة في واتساب جديدة قد تتسبب في وقف استخدامك للتطبيق من جانب المُخترق

ثغرة خطيرة في واتساب ..احذرها
ثغرة خطيرة في واتساب ..احذرها

ثغرة في واتساب تهدد مستخدمي التطبيق الذي يتجاوز عددهم 2 مليار مستخدم، فمن خلال رقم هاتفك فقط يمكن المُخترق إلغاء تنشيط واتساب على هاتفك.

وبحسب تقرير نشرته مجلة فوربس، يمكن للمهاجم عن بُعد بسهولة إلغاء تنشيط WhatsApp على هاتفك ثم إيقافك مرة أخرى. حتى المصادقة الثنائية لن توقف هذا. 

ثغرة في واتساب احذرها
ثغرة في واتساب احذرها

ثغرة في واتساب تتيح وقف التطبيق على هاتف الضحايا

يقول محرر مجلة فوربس، أن الباحثان ، لويس ماركيز كاربينتيرو وإرنستو كاناليس بيرينا ، حذراه من أنهما يمكن أن يوقفا تنشيط WhatsApp على هاتفه، ولكنه لم يكن يصدق.

وقال إنه تم حظره من حسابه الخاص على واتساب باستخدام رقم الهاتف فقط.

يحذر Jake Moore من ESET قائلاً: “هذا اختراق آخر مثير للقلق” ، وهو اختراق قد يؤثر على ملايين المستخدمين الذين يمكن استهدافهم بهذا الهجوم.

وتابع “مع اعتماد الكثير من الأشخاص على WhatsApp كأداة اتصال أساسية للأغراض الاجتماعية والعمل ، فمن المثير للقلق مدى سهولة حدوث ذلك “.

على الرغم من قاعدة مستخدميه الواسعة، فإن WhatsApp يئن تحت وطأة الثغرات.

وفقد الميزات الرئيسية مثل الوصول متعدد الأجهزة والنسخ الاحتياطية المشفرة بالكامل.

نظرًا لأن أكثر برامج المراسلة شيوعًا في العالم تركز على فرض شروط خدمة جديدة لتمكين أحدث مخططات جني الأموال من Facebook ، فإن هذه التطورات التي تشتد الحاجة إليها لا تزال “قيد التطوير”.

للإنصاف مع WhatsApp، يتطلب اختراق الحساب حدوث خطأ من المستخدم.

 ببساطة، يجب ألا ترسل إلى أي شخص رمزًا مكونًا من ستة أرقام يتم إرساله إلى هاتفك على الإطلاق. من شبه المؤكد أنها عملية خداع ستؤدي إلى الاستيلاء على أحد حساباتك. 

يبدو أن WhatsApp قد تأثر أكثر من غيره بهذه المشكلة، ويجب أن يفرض حقًا مصادقة ثنائية (2FA) أو تطوير بنية جهاز موثوق بها ، على غرار Google و Apple.

المصادقة لا تمنع اختراق واتساب

ومن المفارقات، حتى المصادقة الثنائية لتطبيق WhatsApp لا تمنع الهجوم وراء هذا التحذير الأخير.

 وهذه مشكلة حقيقية لأي مستخدم يخالف ذلك، لأنه حتى لو اتبع جميع النصائح الأمنية، فلن يساعد ذلك.

تتضمن هذه الثغرة الأمنية التي تم الكشف عنها حديثًا عمليتين منفصلتين لتطبيق WhatsApp – ولكل منهما نقطة ضعف أساسية.

 وهو مزيج من نقطتي الضعف هاتين اللذان يمكنهما إلغاء تنشيط WhatsApp ومنعك من العودة إليه مرة أخرى.

عند تثبيت WhatsApp على هاتفك لأول مرة، أو تغيير الهواتف، سترسل لك المنصة رمزًا SMS للتحقق من الحساب.

 بمجرد إدخال الرمز الصحيح، سيطلب التطبيق رقم 2FA الخاص بك للتأكد من هويتك حقًا، فأنت في هذه الحالة.

ثغرة في واتساب ..كيف يتم وقف استخدامك للتطبيق دون اختراق هاتفك؟

  • الآن، لنبدأ بأول نقطة ضعف. يمكن لأي شخص تثبيت WhatsApp على الهاتف وإدخال رقمك على شاشة التحقق.
  • ستتلقى بعد ذلك رسائل نصية ومكالمات من WhatsApp برمز مكون من ستة أرقام. سترى أيضًا إشعار تطبيق WhatsApp، يخبرك أنه قد تم طلب رمز، ويحذرك من عدم مشاركته.
  • يمكن للمهاجم القيام بذلك باستخدام رقم هاتف WhatsApp الخاص بك بينما تستمر في استخدام التطبيق الخاص بك كالمعتاد.
  • يطلبون رموزًا متكررة ويدخلون تخمينات غير صحيحة في تطبيقهم.
  • ستتلقى رموز الرسائل القصيرة، وربما المكالمات أيضًا، ولكن لا يوجد شيء يمكنك فعله بها، ولا يوجد مكان لإدخال هذه الرموز. وهكذا، تتجاهل كل شيء.

المشكلة هي أن عملية التحقق من WhatsApp تحد من عدد الرموز التي يمكن إرسالها.

  • بعد بضع محاولات، سيقول WhatsApp للمهاجم: “أعد إرسال الرسائل القصيرة / اتصل بي في غضون 12 ساعة”، وبالتالي لا يمكن إنشاء رموز جديدة.
  • يحظر WhatsApp أيضًا إدخالات الكود على التطبيق بعد عدد من المحاولات أيضًا، ويخبر المهاجم “لقد خمنت مرات عديدة … حاول مرة أخرى خلال 12 ساعة”.
كيف يمكن ان يتم الغاء واتساب على حسابك دون علمك؟
كيف يمكن ان يتم الغاء واتساب على حسابك دون علمك؟

وهكذا، بينما يستمر واتساب على هاتفك في العمل بشكل طبيعي، قام المهاجم بحظر إرسال أي رموز جديدة أو إدخالها في شاشة التحقق. 

كل شيء يعتمد الآن على ذلك المؤقت لمدة 12 ساعة، والذي بدأ العد التنازلي.

يسجل المهاجم الآن عنوان بريد إلكتروني جديدًا وجديدًا، سيفعله Gmail، ويرسل بريدًا إلكترونيًا إلى [email protected].

الحساب المفقود / المسروق، البريد الإلكتروني، يقول، من فضلك قم بإلغاء تنشيط رقمي.

المهاجم يدرج رقمك، قد يرسل WhatsApp ردًا تلقائيًا عبر البريد الإلكتروني يطلب الرقم مرة أخرى، يمتثل المهاجم.

لذا، لأكون واضحًا جدًا. تلقى WhatsApp رسالة بريد إلكتروني تشير إلى رقم هاتفك.

 ليس لديهم طريقة لمعرفة ما إذا كان هذا منك حقًا. لا توجد أسئلة متابعة لتأكيد ملكيتك للرقم. ولكن تم تشغيل عملية آلية، دون علمك، وسيتم الآن إلغاء تنشيط حسابك.

بعد ساعة أو نحو ذلك، وفجأة توقف WhatsApp عن العمل على هاتفك وسترى إشعارًا ينذر بالخطر: “رقم هاتفك لم يعد مسجلاً مع WhatsApp على هذا الهاتف” ، كما يقول. “قد يكون هذا بسبب تسجيلك له على هاتف آخر.

ثغرة في واتساب
ثغرة في واتساب

إذا لم تفعل ذلك ، فتحقق من رقم هاتفك لتسجيل الدخول مرة أخرى إلى حسابك “. يبدو أن هذا التعطيل تلقائي ، باستخدام الكلمات الرئيسية لتشغيل الإجراءات.

يحدث هذا حتى إذا كان لديك 2FA في حساب WhatsApp الخاص بك. لكن ، مع ذلك ، لا ينبغي أن يكون هذا مشكلة. تحتاج فقط إلى طلب رمز وإعادة تسجيل حسابك.

يطلب WhatsApp الذي تم إلغاء تنشيطه رقم هاتفك لإرسال رمز إليك. تقوم بإدخال وتأكيد رقمك. لكن لم يصل أي نص.

 يخبرك التطبيق “لقد حاولت تسجيل [رقمك] مؤخرًا”. “انتظر قبل طلب رسالة SMS أو مكالمة.”

انتظر ماذا؟ أنت لم تطلب أي شيء. لكن هاتفك يخضع الآن لنفس العد التنازلي مثل المهاجم. لا يمكنك طلب رمز جديد لرصيد تلك الـ 12 ساعة. أنت لا تعرف شيئًا من هذا ، بالطبع ، أنت مرتبك تمامًا.

لكنك تتذكر فجأة أنك تلقيت رموز WhatsApp غير متوقعة قبل ساعة أو ساعتين.

طرق اختراق واتساب
طرق اختراق واتساب

يمكنك استرداد أحدث رسائل SMS وإدخال الرمز في WhatsApp. لكن حتى هذا لن ينجح. يخبرك WhatsApp “لقد خمنت مرات عديدة”.

 من الواضح أنك لم تفكر على الإطلاق. لكن هاتفك به نفس قيود المهاجم. لا يمكنك طلب رمز جديد ، ولا يمكنك إدخال الرمز الأخير ، فأنت عالق.

من المحتمل أن يقرأ العد التنازلي من 10 إلى 11 ساعة في هذه المرحلة.

 إذا توقف الهجوم هنا، فستتمكن من طلب رسالة نصية قصيرة جديدة والتحقق من حسابك باستخدام رمز جديد مكون من ستة أرقام بعد انتهاء صلاحية المؤقت الذي يبلغ 12 ساعة. لكن هناك منعطف بغيض.

لا يحتاج المهاجم إلى إرسال بريد إلكتروني إلى WhatsApp خلال أول 12 ساعة من العد التنازلي ، بل يمكنه بدلاً من ذلك الانتظار ثم تكرار العملية. ستتلقى المزيد من الرسائل النصية ، ولكن لا يزال هناك شيء يمكنك فعله بها ، على الرغم من أنك ستشك في وجود خطأ ما.

إذا قام المهاجم بذلك ، فعندئذٍ في الدورة الثالثة التي مدتها 12 ساعة ، يبدو أن WhatsApp يتعطل. سيقول التطبيق “لقد خمنت مرات كثيرة جدًا” ، “حاول مرة أخرى بعد -1 ثانية.” لا توجد الآن طريقة للمهاجم لطلب رموز جديدة أو إدخالها ، ولا يوجد عد تنازلي ، بدلاً من قول “12 ساعة” يقول “-1 ثانية”. لقد توقفت.

لكن لسوء الحظ ، يتم التعامل مع هاتفك بنفس الطريقة التي يعامل بها المهاجم – وبالتالي ، إذا انتظر المهاجم حتى الآن قبل إرسال بريد إلكتروني إلى دعم WhatsApp لإلغاء تنشيط رقمك ، فلن تكون هناك طريقة لك لإعادة تسجيل WhatsApp على هاتفك عندما يتم طردك من تطبيقك. قال لي الباحثون “لقد فات الأوان”. ستحتاج إلى الاتصال بـ WhatsApp ومحاولة العثور على شخص يمكنه المساعدة.

حتى إذا قام المهاجم بإلغاء تنشيط هاتفك خلال الدورة الأولى ، فيمكنه دفعك إلى العد التنازلي الثاني لمدة 12 ساعة إذا طلبوا وأدخلوا الرموز عند انتهاء العد التنازلي الأول قبل أن تحصل على فرصة. تذكر أنهم يرون نفس المؤقت مثلك.

من الواضح أن الجمع بين بنية التحقق هذه وحدود الرسائل القصيرة / الرموز والإجراءات الآلية القائمة على الكلمات الرئيسية التي يتم تشغيلها بواسطة رسائل البريد الإلكتروني الواردة مفتوحة لإساءة الاستخدام. ليس هناك أي تعقيد لهذا الهجوم – فهذه هي المشكلة الحقيقية هنا ويجب على WhatsApp معالجتها على الفور.

هناك العديد من الأسباب التي قد تجعل منع شخص ما من برنامج المراسلة الخاص به مفيدًا. لا ينبغي أن يكون الأمر بهذه السهولة. ويجب ألا يعمل هذا عند تمكين المصادقة الثنائية (2FA) ، كما كان الحال في تطبيق “الضحية” هذا.

هذا ليس معقدًا ويجب إصلاحه بسهولة. يمكن أن يضمن WhatsApp أن التطبيق الموجود على جهاز مسجل به المصادقة الثنائية يمكن أن يمنع هذه المشكلة ، باستخدام 2FA كقاطع دائرة.

بشكل أكثر بساطة ، عندما يظهر الوصول إلى أجهزة متعددة في النهاية ، يمكن أن يستخدم WhatsApp مفهوم الجهاز الموثوق به لتمكين تطبيق تم التحقق منه للتحقق من تطبيق آخر. هذا نظام أفضل بكثير وسيغلق هذه الثغرة الأمنية.

وفقًا لـ Moore، فإن هذه الثغرة الأمنية قد حددت مشكلة أخرى خطيرة في WhatsApp. ويحذر من أنه “لا توجد طريقة لاختيار عدم اكتشافك على WhatsApp”. “يمكن لأي شخص كتابة رقم هاتف لتحديد موقع الحساب المرتبط إذا كان موجودًا.

ثغرة في واتساب
ثغرة في واتساب

من الناحية المثالية ، من شأن التحرك نحو التركيز بشكل أكبر على الخصوصية أن يساعد في حماية المستخدمين من ذلك ، بالإضافة إلى إجبار الأشخاص على تنفيذ رقم تعريف شخصي للتحقق بخطوتين “.

بشكل منطقي، تحدث هذه المشكلة نظرًا لربط الرسائل الآمنة فقط برقم هاتف، وتعمل “فوق القمة” ، بدون روابط خلفية لنظام التشغيل أو الرقم.

 يقترح المنطق أن التطبيق يمكنه التحقق من رقم الهاتف بنفسه – يعترف WhatsApp بجمع معلومات الجهاز في سياسة الخصوصية الخاصة به.

رداً على الكشف، أخبرني متحدث باسم WhatsApp أن “تقديم عنوان بريد إلكتروني مع التحقق المكون من خطوتين يساعد فريق خدمة العملاء لدينا على مساعدة الأشخاص في حالة مواجهة هذه المشكلة غير المحتملة.

 إن الظروف التي حددها هذا الباحث تنتهك شروط الخدمة الخاصة بنا ونشجع أي شخص يحتاج إلى مساعدة لإرسال بريد إلكتروني إلى فريق الدعم لدينا حتى نتمكن من التحقيق. “

ما يقصدونه هو أنك إذا نفذت هذا الهجوم ، فستنتهك شروط خدمتهم وستواجه عواقب.

 هذا لا يساعد أي ضحايا ولكن يجب أن يكون بمثابة تحذير بعدم تجربة هذه الثغرة الأمنية.

لن يؤكد WhatsApp أنه يخطط لإصلاح هذه الثغرة الأمنية، على الرغم من حقيقة أنه يمكن استغلالها بسهولة ودون الكشف عن هويتك. كان ردهم هو التقليل من المخاطر – لكن هذا الخطر حقيقي للغاية.

 بالإضافة إلى عامل الإزعاج ، هناك مزايا مادية في إخراج شخص ما من “الاتصالات”. لذلك ، نظرًا لاستخدام WhatsApp على نطاق واسع ، فهذه فجوة أمنية تحتاج إلى سد. لا يحتاج المهاجم حتى إلى رقم هاتف لانتحال عملية تثبيت جديدة ، فسيعمل الجهاز المتصل عبر شبكة Wifi بشكل جيد.

موضوعات نرشحها لك:

بدون خصم من الباقة..هذه تطبيقات مجانية لذوي الهمم

مواعيد عمل فروع شركات المحمول خلال شهر رمضان