WhatsApp lại một lần nữa rơi vào tình trạng hỗn loạn. Hai nhà nghiên cứu bảo mật, Luis Márquez Carpintero và Ernesto Canales Pereña, đã phát hiện ra một lỗ hổng trong hệ thống xác thực của dịch vụ nhắn tin. Điều này cho phép bất kỳ ai hủy kích hoạt tài khoản của người dùng bằng cách chiếm quyền điều khiển hệ thống nhận dạng hai yếu tố.
Một lỗ hổng trong hệ thống xác thực của WhatsApp
Quá trình hack tài khoản WhatsApp kéo dài và tẻ nhạt, nhưng bất kỳ kẻ độc hại nào cũng có thể truy cập được, điều này khiến cho việc vi phạm bảo mật này càng trở nên khó khăn hơn.
Để khai thác vi phạm này, hacker phải cài đặt ứng dụng WhatsApp trên điện thoại thông minh của mình và nhập số điện thoại của tài khoản mà anh ta muốn chặn. Sau đó, dịch vụ nhắn tin sẽ gửi mã xác thực qua SMS đến cùng số này (do đó nạn nhân sẽ nhận được một loạt mã qua tin nhắn). Sau quá nhiều lần xác minh với các mã sai do hacker nhập vào, quá trình gửi sẽ bị chặn trong 12 giờ.
Từ đây đến giai đoạn thứ hai của cái bẫy. Sau đó, kẻ tấn công sẽ tạo một địa chỉ email giả, nhân danh người được nhắm mục tiêu, để liên hệ với bộ phận hỗ trợ của WhatsApp bằng cách yêu cầu tạm ngưng tài khoản vì lý do đánh cắp hoặc mất điện thoại thông minh. Ở giai đoạn này, quá nhiều lần thử nhận dạng bằng cách gửi mã sẽ chiếm ưu thế trong bài phát biểu của anh ta. Thật kỳ lạ, dịch vụ hỗ trợ của ứng dụng sẽ không kiểm tra địa chỉ email nào được liên kết với số điện thoại và do đó sẽ hủy kích hoạt tài khoản WhatsApp được đề cập.
Sau đó, nếu hacker lặp lại các hành động này trong hai chu kỳ 12 giờ nữa, nạn nhân sẽ thấy một thông báo xuất hiện khi họ muốn kết nối với số điện thoại của mình: “Bạn đã cố gắng đoán (mã) quá nhiều lần, hãy thử lại sau -1 thứ hai “. Dấu hiệu này có nghĩa là tài khoản đã bị chặn vĩnh viễn và bạn sẽ cần liên hệ với bộ phận hỗ trợ của WhatsApp để cố gắng lấy lại quyền truy cập.
Một lỗ hổng có thể gây ra động đất tại WhatsApp?
Thoạt nhìn, lỗ hổng bảo mật này thật đáng lo ngại. Thật vậy, nó có thể truy cập được cho bất kỳ ai muốn bẫy người khác mà không cần bất kỳ kỹ năng kỹ thuật nào. Tuy nhiên, việc khai thác lỗ hổng vẫn còn phức tạp, với tổng cộng 36 giờ tố tụng để tài khoản bị đình chỉ. Hơn nữa, không có dữ liệu cá nhân hoặc thu tiền được với phương pháp hack này. Sau đó, người ta có thể tự hỏi rằng một hacker có thể có lợi ích lớn nào trong việc triển khai nhiều phương tiện như vậy để đạt được kết quả tối thiểu.
Về phía WhatsApp, công ty chỉ ra rằng việc làm này trái với các quy tắc sử dụng dịch vụ. Tuy nhiên, dịch vụ nhắn tin dường như không ưu tiên sửa chữa lỗ hổng này, mặc dù các vấn đề liên quan đến bảo mật của người dùng và dữ liệu cá nhân của họ, hiện đang là tâm điểm của các cuộc tranh luận.
Một lời khuyên: nếu bạn nhận được mã xác thực qua SMS và bạn không phải là tác giả của yêu cầu này, đó có thể là một âm mưu tấn công. Sau đó, bạn sẽ cần liên hệ với bộ phận hỗ trợ WhatsApp càng sớm càng tốt theo địa chỉ: [email protected].
Forbes
