Hacker’lar, WhatsApp hesaplarını bu türlü ele geçiriyorlar

Dijital risk muhafaza şirketi CloudSEK’in kurucusu ve CEO’su Rahul Sasi, birtakım taşınabilir hizmetlerin sunduğu otomatik davet yönlendirmeyi ve sesli arama yoluyla tek seferlik parola (OTP) doğrulama kodu gönderme seçeneğini kullanan bir saldırganın neredeyse tüm WhatsApp hesaplarını ele geçirebileceğini keşfettiğini açıkladı.

Saldırıyı başarılı bir şekilde gerçekleştirmek için, korsanın önce kurbanı İnsan-Makine Arayüzü (MMI) koduyla başlayan bir numarayı aramaya ikna etmesi gerekiyor. Bu numara çoklukla taşınabilir operatör tarafından ayarlanıyor ve arama iletmeyi aktifleştirmek için kullanılıyor.

Numara, ekseriyetle bir yıldız ya da kare sembolü ile başlıyor. Bu kodlar kolaylıkla bulunuyor ve büyük taşınabilir ağ operatörlerinin çoğu bunları destekliyor.

Bu numarayı aramak, gelecekteki tüm aramaları saldırganın sahip olduğu uç noktaya iletiyor. Bundan sonra, saldırgan kendi aygıtında WhatsApp kayıt sürecini başlatabileceği ve sesli arama yoluyla OTP’yi alabileceği için işlem nispeten kolaylaşıyor.

Bunu test eden BleepingComputer, birkaç ihtarla birlikte genel olarak işe yaradığını söylüyor. İlk olarak, saldırganın, sadece hat meşgulken yapılan aramaları değil, tüm aramaları ileten bir MMI kodu kullanması için kurbanı kandırması gerekiyor. Akabinde, kurbanın WhatsApp uygulamasının öbür bir aygıta kaydedildiğini bildiren kısa mesajı kaçıracak kadar uzun süre meşgul olduğundan emin olmaları gerekiyor. Ayrıyeten, kurban esasen davet yönlendirmeyi etkinleştirmişse, saldırganlar “daha fazla sosyal mühendislik gerektirebilecek küçük bir rahatsızlık” olan farklı bir telefon numarası kullanmalı. Yayın, prosedürün Verizon ve Vodafone üzerinde çalıştığını doğruladı.