WhatsApp milyarlarca kişi tarafından kullanıyor. Gizlilik sözleşmesi tartışmaları nedeniyle zaman zaman kullanıcı sayısında değişiklik yaşansa da WhatsApp hala en çok kullanılan mesajlaşma uygulamalarından biri. Bu unvan, milyonlarca kişiye ulaşmak isteyen siber saldırganların da iştahını kabartıyor. Yeni ortaya çıkartılan ve haberimize konu olan WhatsApp güvenlik açığı da akılalmaz bir saldırının gerçekleştirilmesine zemin hazırlanıyor.
Luis Marquez Carpintero ve Ernesto Canales Perena isimli iki siber güvenlik uzmanı, WhatsApp'taki akılalmaz güvenlik açığını tespit etti. Açık, WhatsApp'ın hesap doğrulama sisteminin zayıf noktasını ortaya çıkartıyor. Buna göre, bir WhatsApp hesabının telefon numarasını bilen saldırganlar, kendi WhatsApp uygulamalarına bu telefon numarasını giriyorlar. WhatsApp bu noktada kişiden doğrulama kodunu teyit etmesini istiyor. WhatsApp, belirli sayıda kod isteği denemesinden sonra 12 saat boyunca kod gönderilmesini engelliyor. İşte bu noktadan sonra saldırganlar harekete geçiyor.
Saldırganlar, WhatsApp hesabının sahibi olan kullanıcının adına sahte bir e-posta hesabı açıyor. Bu e-posta hesabıyla birlikte WhatsApp destek ile iletişime geçip, "kayıp / çalınmış bir telefon isteği" gönderiyor ve hesabın devre dışı bırakılmasını istiyor. Bu süreç boyunca WhatsApp e-postanın gerçekten kullanıcıya ait olup olmadığı sorgulamıyor. Sonuç olarak WhatsApp hesabı devre dışı bırakıyor. Böylece asıl kullanıcı, hesabına hiçbir şekilde erişemiyor, deyim yerindeyse olanları izlemekle yetiniyor.
Güvenlik açığı sayesinde gerçekleştirilen saldırıdan kurtulmak için yapabileceğiniz şeylerin sayısı sınırlı. Fakat bu noktada iki aşamalı kimlik doğrulama, iyi bir çözüm olabilir. Zira bir WhatsApp sözcüsü de bu konuya dikkat çekiyor ve iki aşamalı kimlik doğrulamayı aktifleştirmenin, WhatsApp hesabına bir e-posta hesabı eklemenin bu tür bir saldırıdan korunmayı sağlayabileceğini söylüyor. Ancak haberin kaynağında İki faktörlü kimlik doğrulamanın bile bunu durduramayacağı belirtiliyor.