כיצד למנוע מתוקפים לנעול אותך מחוץ לוואטסאפ
קרדיט: art_inside - Shutterstock
למרות שהתוצאה מעצבנת יותר ממסוכנת, נראה שהמוזרות שנוצלה לאחרונה במערכת האימות הדו-גורמי של WhatsApp עושה את זה קל יחסית לתוקף לנעול אותך מחוץ לחשבון שלך לפרקי זמן משתנים. וכל מה ששחקן רע צריך כדי להצליח, נכון לכתיבת שורות אלה, הוא לדעת את מספר הטלפון ששייכת לחשבון הוואטסאפ שלך. זהו.
ההתקפה עצמה די קלה לביצוע. כְּמוֹמשטרת אנדרואידמתאר:
הפגם החדש שהתגלה משתמש בשני וקטורים נפרדים. התוקף מתקין WhatsApp במכשיר חדש ומזין את המספר שלך כדי להפעיל את שירות הצ'אט. הם לא יכולים לאמת את זה, כי כמובן,
מערכת האימות הדו-גורמי שולחת את הנחיות הכניסה לטלפון שלך במקום זאת. לאחר מספר ניסיונות חוזרים ונכשלים, הכניסה שלך נעולה למשך 12 שעות.
כאן נכנס החלק המסובך: כשהחשבון שלך נעול, התוקף שולח הודעת תמיכה לוואטסאפ מכתובת האימייל שלו, בטענה שהטלפון שלו (שלך) אבד או נגנב, ושהחשבון המשויך למספר שלך צריך להיות מושבת. WhatsApp "מאמת" זאת באמצעות דוא"ל תשובה, ומשהה את חשבונך ללא כל קלט מצדך. התוקף יכול לחזור על התהליך מספר פעמים ברציפות כדי ליצור נעילה קבועה למחצה בחשבונך.
הבטנה הכסוף כאן היא שאי אפשר להתרגל להתקפותלפרוץהחשבון שלך, רק כדי לעצבן אותך על ידי הפיכת חשבונך לבלתי שמיש לתקופה מסוימת (אפשר לצמיתות, אם התוקף באמת מסור).
סיפרו נציגי וואטסאפפורבסשהדרך הקלה ביותר להגן על עצמך מפני התקפה מסוג זה היא לוודא ששייכת כתובת דוא"ל לתהליך האימות הדו-שלבי שלך, כך שהתוקף לא יוכל לזייף את זהותך. אתה יכול לעשות את זה עכשיו על ידי משיכה למעלהוואטסאפ, טוען את שלההגדרות, מקיש עלאימות דו-שלבי, והזנת כתובת הדוא"ל שלך (או בדיקה כדי לוודא שכבר עשית זאת).
זה לא הולך לחסום את המתקפה כשלעצמה, אבל זה יקל הרבה יותר על צוות שירות הלקוחות של WhatsApp לעזור לך אם תמצא את עצמך בלולאת משוב "מנוע מאימות החשבון שלי" - וזה מה שיעשה יקרה אם תוקף מושיט יד לוואטסאפ מתחזה כמוך וטוען זאתשֶׁלְךָהחשבון נפרץ וכי WhatsApp אמורה להשבית אותו. (לאחר מכן "תקבל" קודים כדי לבטל את ביטול הרישום השגוי, רק שלא תוכל להזין אותם בגלל הטריק הקודם, שאסר עליך באופן זמני בגלל הזנת יותר מדי קודי 2FA שגויים.)
כפי שכותב זאק דופמן של פורבס:
זה לא מורכב ויש לתקן אותו בקלות. WhatsApp יכולה להבטיח שאפליקציה במכשיר עם 2FA רשום תוכל למנוע בעיה זו, באמצעות 2FA כמפסק. אפילו יותר פשוט, כאשר בסופו של דבר מופיעה גישה מרובה מכשירים, WhatsApp יכולה להשתמש בקונספט המכשיר המהימן כדי לאפשר לאפליקציה מאומתת אחת לאמת אחרת. זו מערכת הרבה יותר טובה והיא תכבה את הפגיעות הזו.
הייתי מצפה ש-WhatsApp בוחנת את הנושא הזה ותתקן את תהליך האימות של 2fA (או תהליך השבתת החשבון) כדי להפוך את סוגי התקפות מסוג Drive-by-style לבלתי יעילות. בינתיים, אולי תשקול להשתמשמספר וואטסאפ אחר לגמרי, אם אפשר, כדי למזער את הסיכון תינעל בחוץ.
