WhatsApp nếu bạn không cẩn thận. Một lỗ hổng mới đã được phát hiện có thể cho phép kẻ tấn công từ xa dễ dàng hủy kích hoạt WhatsApp trên điện thoại của bạn, chỉ với số điện thoại của bạn. Điều đáng lo ngại là xác thực hai yếu tố sẽ không thể ngăn điều này xảy ra. WhatsApp thuộc sở hữu của Facebook có hơn 2 tỷ người dùng trên toàn cầu, dù ít hay nhiều, khiến nó trở thành ứng dụng nhắn tin tức thời phổ biến nhất và được sử dụng nhiều nhất trên thế giới. Cách thức hoạt động của cuộc tấn công này là nó yêu cầu một số lỗi do chính người dùng gây ra nhưng ở bước tiếp theo cần được thiết kế để bảo vệ điều này, xác thực hai yếu tố cũng không làm bất cứ điều gì để ngăn chặn cuộc tấn công. Các nhà nghiên cứu bảo mật, Luis Márquez Carpintero và Ernesto Canales Pereña đã chứng minh lỗ hổng bảo mật và có thể giết WhatsApp trên điện thoại của người dùng, để Forbes .
Lỗ hổng bảo mật này có hai phần, như được mô tả trong báo cáo. Đầu tiên là cách WhatsApp được cài đặt trên mọi thiết bị. Ví dụ: khi cài đặt WhatsApp trên điện thoại, bạn sẽ nhận được mã SMS để xác minh thẻ SIM và số. Điều tương tự cũng có thể được thực hiện bởi tin tặc — cài đặt WhatsApp trên điện thoại của họ bằng số điện thoại của bạn. Ở giai đoạn này, bạn sẽ bắt đầu nhận được mã sáu chữ số trên SMS cho thấy ai đó đã yêu cầu mã để cài đặt WhatsApp trên điện thoại của họ. Bạn không thể làm gì và WhatsApp trên điện thoại của bạn vẫn tiếp tục hoạt động bình thường trong thời gian này. Những mã này sẽ đến nhiều lần, vì đó là một phần của quá trình hack. Ở một giai đoạn, quy trình xác minh của WhatsApp sẽ giới hạn số lượng mã có thể được gửi và sẽ hạn chế khả năng tạo thêm mã trong khoảng thời gian 12 giờ. Trong thời gian này, WhatsApp của bạn tiếp tục hoạt động hoàn toàn bình thường. Tuy nhiên, điều bạn không nên làm ở giai đoạn này là hủy kích hoạt WhatsApp trên điện thoại của bạn và cố gắng cài đặt lại nó. Bạn sẽ không thể tạo mã. Lỗ hổng này dự kiến sẽ ảnh hưởng đến WhatsApp cho Android và WhatsApp cho iPhone.
Hãy chuyển sang bước tiếp theo. Tin tặc tạo một ID email và sau đó gửi email tới [email protected] nói rằng điện thoại mà WhatsApp đã được cài đặt đã bị đánh cắp hoặc bị mất và họ cần phải hủy kích hoạt WhatsApp cho số đó — và đây sẽ là số điện thoại của bạn. WhatsApp có thể xác nhận lại số của bạn trên email, nhưng không có cách nào để họ xác định xem đó là tin tặc gửi những email này hay là chủ sở hữu chính hãng. Sau một thời gian, WhatsApp cho số điện thoại của bạn sẽ bị vô hiệu hóa. Bạn sẽ thấy thông báo “Số điện thoại của bạn không còn được đăng ký với WhatsApp trên điện thoại này nữa” khi bạn mở ứng dụng tiếp theo. Tiếp tục nói rằng điều này có thể là do WhatsApp đã được cài đặt trên một điện thoại khác. Hãy hết sức cảnh giác ở giai đoạn này.
Hành động hợp lý sẽ là thử và thiết lập lại WhatsApp trên điện thoại của bạn. Bạn nhập số của mình và đợi mã xác minh. Báo cáo gợi ý rằng sẽ không có mã nào đến trên SMS và ứng dụng sẽ cho bạn biết”Hãy đợi trước khi yêu cầu SMS hoặc cuộc gọi”. Đó là bởi vì điện thoại của bạn hiện có cùng thời gian đếm ngược 12 giờ với cơ hội xác minh lại hạn chế. “Nhưng đột nhiên bạn nhớ rằng bạn đã nhận được mã WhatsApp bất ngờ trước đó một hoặc hai giờ. Bạn lấy tin nhắn SMS gần đây nhất và nhập mã vào WhatsApp. Nhưng ngay cả điều này sẽ không hoạt động.”Bạn đã đoán quá nhiều lần”, WhatsApp cho bạn biết. Rõ ràng, bạn đã không đoán được gì cả. Nhưng điện thoại của bạn có các hạn chế giống như của kẻ tấn công. Bạn không thể yêu cầu mã mới, bạn không thể nhập mã cuối cùng, bạn bị mắc kẹt,”báo cáo cho biết.
Sau mốc 12 giờ đã trôi qua, bạn sẽ có hai con đường và sẽ có thể đi xuống một con đường tùy thuộc vào mức độ may mắn của bạn. Nếu cuộc tấn công dừng lại ở đây, bạn sẽ có thể đăng ký WhatsApp trên điện thoại của mình và cuộc sống có thể bình thường trở lại. Nhưng nếu không, thì nhiều rắc rối đang chờ đợi. Nếu kẻ tấn công đợi khoảng thời gian 12 giờ và gửi lại thư đến WhatsApp, bạn sẽ không thể thiết lập WhatsApp trên điện thoại của mình ngay cả khi bạn nhận được tin nhắn văn bản có mã. Các nhà nghiên cứu chỉ ra rằng WhatsApp bị hỏng và bị nhầm lẫn sau chu kỳ 12 giờ thứ ba và thay vì đếm ngược, chỉ cần nói”thử lại sau-1 giây”. Cách xử lý tương tự đối với điện thoại của bạn và điện thoại của kẻ tấn công. Và đây là vấn đề. Nếu kẻ tấn công đợi đến bây giờ trước khi gửi email cho WhatsApp lần nữa để hủy kích hoạt số của bạn, thì sẽ không có cách nào để bạn đăng ký lại WhatsApp trên điện thoại khi bạn bị loại khỏi ứng dụng của mình. “Đã quá muộn”, các nhà nghiên cứu nói với Forbes.
Sự cố với xác minh WhatsApp kiến trúc là mã SMS và hỗ trợ email tự động không có bất kỳ lớp thứ hai nào để kiểm tra tính xác thực và rất dễ bị lạm dụng. Các nhà nghiên cứu cũng chỉ ra rằng kiểu tấn công này không cần bất kỳ sự phức tạp nào để thực hiện. “Không có cách nào để chọn không bị phát hiện trên WhatsApp. Bất kỳ ai cũng có thể nhập số điện thoại để xác định vị trí tài khoản được liên kết nếu nó tồn tại. Tốt nhất, một động thái hướng tới việc tập trung hơn vào quyền riêng tư sẽ giúp bảo vệ người dùng khỏi điều này, cũng như buộc mọi người phải thực hiện mã PIN xác minh hai bước, ”Jake Moore của ESET nói với Forbes. WhatsApp chỉ liên kết với một số điện thoại và không có chính sách thiết bị đáng tin cậy liên kết số đó với ID thiết bị hoặc hệ điều hành mà nó được cài đặt và xác minh lần cuối.
Thật không may, phản hồi của WhatsApp đối với Zak Doffman của Forbes không thực sự gây được nhiều sự tin tưởng. Tất cả những gì họ nói là, “việc cung cấp địa chỉ email với xác minh hai bước của bạn sẽ giúp nhóm dịch vụ khách hàng của chúng tôi hỗ trợ mọi người nếu họ gặp phải sự cố không mong muốn này. Các trường hợp được nhà nghiên cứu này xác định sẽ vi phạm điều khoản dịch vụ của chúng tôi và chúng tôi khuyến khích bất kỳ ai cần trợ giúp hãy gửi email cho nhóm hỗ trợ của chúng tôi để chúng tôi có thể điều tra ”. Thực sự, nếu WhatsApp của bạn đã bị tấn công, thì việc biết rằng người chịu trách nhiệm cho cuộc tấn công không tinh vi này vi phạm điều khoản dịch vụ của WhatsApp là điều không mấy an ủi. Báo cáo cũng cho biết WhatsApp chưa xác nhận bất kỳ kế hoạch nào để khắc phục lỗ hổng này.
Đọc tất cả Tin tức mới nhất và Tin nóng tại đây
