Sadece telefon numaranızı kullanarak uzaktaki bir saldırganın WhatsApp’ı kolay kolay devre dışı bırakabileceği ve akabinde tekrar içeri girmenizi engelleyebileceği ortaya çıktı. Üstelik iki faktörlü kimlik doğrulama bile bunu durduramıyor. Atak şu halde işliyor.
Araştırmacılar Luis Márquez Carpintero ve Ernesto Canales Pereña, Forbes müellifi Zak Doffman’ı telefonundaki WhatsApp’ı devre dışı bırakabilecekleri konusunda uyardıklarında ve bunu yalnızca telefon numarasını kullanarak yapabileceklerini söylediklerinde Doffman buna kuşku ile yaklaştığını söylüyor.
ESET’ten Jake Moore taarruz ile ilgili şöyle diyor: “Bu da kaygı verici ve potansiyel olarak milyonlarca kullanıcıyı gaye alıp etkileyebilecek bir atak. Bu kadar çok insan toplumsal ve iş emelli birincil irtibat aracı olarak WhatsApp’a güvenirken, bunun ne kadar kolay olabileceği telaş verici.”
Geniş kullanıcı tabanına karşın, WhatsApp’ın dişlileri gıcırdıyor. Uygulamanın mimarisi rakiplerinin gerisinde kaldı ve çoklu aygıt erişimi ve büsbütün şifrelenmiş yedeklemeler üzere temel özellikleri de kaçırmış durumda. Dünyanın en tanınan iletileşme uygulaması, Facebook’un en son para kazanma planlarını aktifleştirmek için yeni hizmet kaidelerini zorunlu kılmaya odaklandığından, bu çok gereksinim duyulan ilerlemeler “geliştirme aşamasında” kalmaya devam ediyor.
WhatsApp Hesap Çalınması
Öncelikle bir WhatsApp hesabının çalınması için kullanıcı yanlışı gerekiyor. Basitçe söylemek gerekirse, telefonunuza gelen altı haneli kodu hiçbir biçimde kimseye göndermemelisiniz. Şayet bu türlü bir talep olursa bunun hesabınızın ele geçirilmesine neden olan bir aldatmaca olduğunu söyleyebiliriz. WhatsApp, bu problemle başkalarından daha fazla etkilenmiş üzere görünüyor ve gerçekten iki faktörlü kimlik doğrulamayı (2FA) mecburî kılmalı yahut Google ve Apple’a misal sağlam bir aygıt mimarisi geliştirmeli.
İronik olarak, WhatsApp’ın iki faktörlü kimlik doğrulaması bile bu son ihtarın gerisindeki saldırıyı engellemiyor. Üstelik olur da bu atağa kurban giderseniz bu büyük bir sorun zira tüm güvenlik tavsiyelerini yerine getirseniz bile bir işe yaramıyor.
Bu yeni açıklanan güvenlik açığı, her ikisi de temel bir zayıflığa sahip olan iki farklı WhatsApp sürecini içriyor. Akın, WhatsApp’ınızı devre dışı bırakabilecek ve tekrar içeri girmenizi engelleyebilecek olan bu iki zayıflığın birleşimi sonucu ortaya çıkıyor.
WhatsApp’ı telefonunuza birinci yüklediğinizde yahut telefon değiştirdiğinizde, platform size hesabı doğrulamak için bir SMS kodu gönderecektir. Yanlışsız kodu girdikten sonra, uygulama sahiden siz olduğunuzdan emin olmak için 2FA numaranızı isteyecek.
Birinci Zayıflık
Artık birinci zayıflıktan başlayalım. Herkes telefonuna WhatsApp yükleyip doğrulama ekranında sizin numaranızı girebilir. Daha sonra WhatsApp’tan bildiri yahut arama yolu ile altı haneli kodunuzu alacaksınız. Ayrıyeten, bir kodun talep edildiği söyleyen ve bunu paylaşmamanız konusunda sizi uyaran bir WhatsApp bildirimi de göreceksiniz.
Siz uygulamanızı olağan biçimde kullanmaya devam ederken bir saldırgan bunu WhatsApp telefon numaranızla yapıyor olabilir. Saldırganlar daima tekrarlanan kodlar talep ederek bunları uygulama içinden yanlış varsayımlar yapmak için kullanabilirler. Bu esnada size davetler ve SMS kodları gelebilir lakin bunlarla bir işiniz olmadığından ve kodları girecek bir ekran da karşınıza çıkmadığından hepsini görmezden gelirsiniz.
Sorun, WhatsApp’ın doğrulama sürecinin gönderilebilecek kod sayısını sınırlaması. Birkaç denemeden sonra, saldırganın WhatsApp’ı “SMS’i tekrar gönder/12 saat içinde beni ara” diyecek ve böylelikle yeni kodlar oluşturulamayacak. WhatsApp ayrıyeten birkaç denemeden sonra uygulamadaki kod girişlerini de engelleyerek saldırgana “çok fazla iddia ettin … 12 saat içinde tekrar dene” diyecek.
Yanlış kod girişi saldırganın telefonunda 12 saat beklemeye yol açar.
Ve böylelikle, telefonunuzdaki WhatsApp olağan formda çalışmaya devam ederken, saldırgan yeni kodların gönderilmesini yahut bir doğrulama ekranına girilmesini engellemiş olur. Bu noktadan sonra artık her şey, geri sayım yapan 12 saatlik zamanlayıcıya bağlı.
Tabi bunların hiçbiri sizin için sorun olmamalı. Telefonunuzda WhatsApp’ı devre dışı bırakmadığınız ve tekrar doğrulamanız gerekmediği sürece bir sorun yok. Ve böylelikle iki numaralı zayıflığa geçiyoruz.
İkinci Zayıflık
Saldırgan artık yeni, taze bir e-posta adresi açar -Gmail iş görür- ve [email protected] adresine bir e-posta gönderir. Kelam konusu e-posta’da kayıp/çalınan hesap, e-posta, lütfen numaramı devre dışı bırakın der. Saldırgan bu e-postanın içeriğine numaranızı müellif. WhatsApp, numarayı tekrar isteyen otomatik bir e-posta cevabı gönderebilir, saldırgan bunu da yanıtlar.
“Saldırgan”dan WhatsApp Destek’e gönderilen e-posta.
Yani, çok açık olmak gerekirse WhatsApp, telefon numaranıza atıfta bulunan bir e-posta aldı ve bunun sahiden sizden olup olmadığını bilmelerinin hiçbir yolu yok. Numaraya sahip olduğunuzu doğrulayacak takip soruları yok. Ancak bilginiz dışında otomatik bir süreç başlatıldı ve hesabınız artık devre dışı bırakılacak.
WhatsApp Destek’ten “Saldırgan”a gelen e-posta.
Bir saat kadar sonra WhatsApp birdenbire çalışmayı durdurur ve telefonunuzda sizi uyan bir bildirim ortaya çıkar: “Telefon numaranız artık bu telefonda WhatsApp’a kayıtlı değil” der. “Bunun nedeni, onu öteki bir telefona kaydetmiş olmanız olabilir. Bunu yapmadıysanız, hesabınıza tekrar giriş yapmak için telefon numaranızı doğrulayın.” Bu devre dışı bırakma süreci, hareketleri tetiklemek için anahtar sözler kullanılarak otomatikleştirilmiş üzere gözükmekte.
Kurbanın telefonundaki WhatsApp uyarısı.
Bu, WhatsApp hesabınızda 2FA, yani çift faktörlü doğrulama olsa bile meydana gelebilir. Fakat o denli olsa bile, bu hala bir sorun olmamalı. Bir kod istemeniz ve hesabınızı yine kaydetmeniz kâfi.
Devre dışı bırakılan WhatsApp, kod göndermek için sizden telefon numaranızı ister. Numaranızı girip onaylarsınız. Ancak hiçbir SMS gelmiyor. Uygulama size “Yakın zamanda [ numaranızı ] kaydetmeyi denediniz ” diyor. “SMS yahut arama istemeden evvel bekleyin.”
Kurbanın telefonunda kod talebini geciktirme.
Bi’ saniye, ne? Hiçbir şey talep etmediniz ki. Ancak telefonunuz artık saldırgan ile tıpkı geri sayıma tabi. Bu 12 saatlik müddette yeni bir kod talep edemezsiniz. Tabi bunların hiçbirini bilmediğiniz için elbette başınız karıştı.
Fakat aniden, beklenmedik WhatsApp kodlarını bir yahut iki saat evvel aldığınızı hatırlıyorsunuz. En son SMS’i açıyorsunuz ve kodu WhatsApp’a giriyorsunuz. Fakat bu bile işe yaramayacak. WhatsApp size “Çok fazla iddia ettin” diyecek. Açıkçası, siz bu kodu daha evvel hiç girmediniz bile. Lakin telefonunuz, saldırganınki ile birebir kısıtlamalara sahip. Yeni bir kod isteyemezsiniz, son kodu giremezsiniz, sıkışmış durumdasınız.
Kurbanın telefonunda doğrulama başarısız.
Geri sayım muhtemelen bu noktada 10 ila 11 saat civarında olacaktır. Atak burada durursa, yeni bir SMS talep edebilir ve bu 12 saatlik zamanlayıcı müddeti dolduktan sonra yeni bir altı haneli kod kullanarak hesabınızı doğrulayabilirsiniz. Ama işte burada makûs bir olay var.
Saldırganın birinci 12 saatlik geri sayım sırasında WhatsApp’a e-posta göndermesi gerekmez, bunun yerine bekleyip süreci tekrarlar. Çok daha fazla SMS alırsınız ama bir şeylerin yanlış olduğundan şüphelenmenize karşın hala yapabileceğiniz hiçbir şey yoktur.
Saldırgan bunu yapmaya devam ettiğinde üçüncü 12 saatlik döngüde WhatsApp çöküyor üzere gözükecektir: “Çok fazla varsayım ettin, -1 saniye sonra tekrar dene” diyecek. Artık saldırganın yeni kod istemesi yahut girmesi mümkün değil, geri sayım yok, “12 saat” yerine “-1 saniye” diyor. Sistem durdu.
3. Hücum Döngüsünden Sonra Hem Saldırganın hem de Kurbanın Telefonunda doğrulama geri sayım yanılgıları.
Fakat maalesef telefonunuza saldırganınki üzere davranılır- bu durumda saldırgan, numaranızı devre dışı bırakmak için WhatsApp Destek’e e-posta göndermeden evvel şimdiye kadar beklerse, uygulamanızdan atıldığınızda telefonunuzdaki WhatsApp’ı tekrar kaydetmeniz mümkün olmayacaktır. Araştırmacılar bunun için “Artık çok geç” diyorlar. WhatsApp ile irtibata geçmeniz ve yardım edebilecek birini bulmaya çalışmanız gerekecek.
Saldırgan, birinci döngü sırasında telefonunuzu devre dışı bıraksa bile, siz kodu girmeden evvel birinci geri sayımın bitiminde tekrar kod talep edip bunları girerse sizi ikinci bir 12 saatlik geri sayıma itebilir. Unutmamalısınız ki saldırganlar sizinle birebir zamanlayıcıyı görüyorlar.
Şurası açık ki bu doğrulama mimarisi, SMS/kod limitleri ve gelen e-postaların tetiklediği otomatik, anahtar söz tabanlı hareketlerin kombinasyonu berbata kullanıma müsait. Bu hücumun karmaşıklığı yok -buradaki asıl sorun bu ve WhatsApp bunu çabucak ele almalı. Birinin iletileşme programına girmesini engellemenin avantajlı olmasının birçok nedeni var. Bu süreç kadar kolay olmamalı. Ve bu “kurbanın” uygulamasında olduğu üzere, 2FA etkinleştirildiğinde bu prosedür çalışmamalı.
Bu karmaşık bir süreç değil ve basitçe düzeltilebilir. WhatsApp, 2FA kayıtlı aygıttaki bir uygulama ile bu sorunu çarçabuk önleyebilir. Daha da basitçe, çoklu aygıt erişimi sonunda ortaya çıktığında, WhatsApp, doğrulanmış bir uygulamanın oburunu doğrulamasını sağlamak için sağlam aygıt konseptini kullanabilir. Bu çok daha güzel bir sistem ve bu güvenlik açığını kapatabilir.
Moore’a nazaran, bu güvenlik açığı öbür bir önemli WhatsApp problemini işaret etti. “WhatsApp’ta keşfedilmekten vazgeçmenin bir yolu yok” diye uyarıyor. “Varsa, bağlantılı hesabı bulmak için herkes bir telefon numarası yazabilir. İdeal olarak, daha fazla kapalılık odaklı olma istikametinde bir hareket ve iki adımlı bir doğrulama PIN’i zorlamak kullanıcıları bundan muhafazaya yardımcı olur.”
WhatsApp 2FA Kurbanın Telefonunda Etkinleştirildi Fakat Saldırıyı Önlemedi
İronik bir biçimde bu sorun, WhatsApp kapalılık siyasetinde aygıta ilişkin bilgi topladığını itiraf etmesine karşın inançlı mesajlaşmanın sırf bir telefon numarasına bağlı olması. Yani kelam konusu uygulama aygıtın işletim sistemine yahut numarasına bağlı olmadan çalışıyor. Mantık olarak uygulama, telefon numarasının kendisini çarçabuk doğrulayabilir.
Açıklamaya karşılık olarak bir WhatsApp sözcüsü Forbes’a “iki basamaklı doğrulamanızı içeren bir e-posta adresi sağlamanız, müşteri hizmetleri takımımızın insanlara bu beklenmedik problemle müsabakaları durumunda yardımcı olmasına yardımcı oluyor. Bu araştırmacının belirlediği şartlar hizmet kurallarımızı ihlal eder ve yardıma muhtaçlığı olan herkesi, araştırma yapabilmemiz için dayanak grubumuza e-posta göndermeye teşvik ederiz. ”
Demek istedikleri, bu saldırıyı gerçekleştirirseniz, hizmet kurallarını ihlal etmiş olursunuz ve sonuçlarla karşı karşıya kalırsınız. Bu, rastgele bir mağdura yardımcı olmamakla birlikte, bu güvenlik açığını denememek için yalnızca bir ihtar vazifesi görüyor.
WhatsApp, kolay kolay ve anonim olarak istismar edilebilmesine karşın, bu güvenlik açığını düzeltmeyi planladığını doğrulamıyor. Şirketin yansısı riski hafife almak oldu- lakin bu risk çok gerçek. Rahatsız edici faktörün ötesinde, birini “iletişimden” çıkarmanın değerli avantajları var. Münasebetiyle, WhatsApp’ın yaygın kullanımı göz önüne alındığında, bu, tıkanması gereken bir güvenlik açığı. Bir saldırganın yeni bir yüklemeyi taklit etmek için telefon numarasına bile gereksinimi yok, Wi-Fi üzerinden bağlanan bir aygıt pek güzel çalışacaktır.
Ne Yapmalısınız?
O halde ne yapmalısınız? Gerçek bir hesap ele geçirilmesini önlemek için 2FA’yı aktifleştirmeniz gerekir ve bu olayın başınıza gelmesi durumunda yardımcı olacak bir e-posta adresi de eklemenizde yarar var. Bu ortada olur da birisinin doğrulama kodlarınızı istediğine dair ihtarlar alırsanız bunları dikkate alın ve durum devam ederse çabucak WhatsApp Dayanak ile bağlantıya geçin.
Elbette, öteki seçeneğiniz Mark Zuckerberg’i örnek almak ve Signal kullanmaya başlamak olacaktır. Saklılık öncelikli iletileşme uygulaması, WhatsApp’a en uygun alternatif ve ironik bir halde kısmen WhatsApp’ın kurucu ortağı Brian Acton tarafından finanse edilmekte.
WhatsApp’ın duruşunu değiştireceği ve bu güvenlik açığını düzelteceği konusunda umutluyuz.
