تكنولوجيا

ثغرة تسمح بتعطيل حسابات واتساب بحيلة بسيطة

time reading iconدقائق القراءة - 5
تابع آخر الأخبار على واتساب
whatsapp icon
شعار واتساب المملوك لشركة فيسبوك - REUTERS
شعار واتساب المملوك لشركة فيسبوك - REUTERS
القاهرة-محمد عادل

اكتشف باحثان أمنيان ثغرة في خدمة واتساب، تسمح للمخترقين بحرمان أي شخص من الدخول إلى حسابه بمجرد معرفة رقم الهاتف المتصل به.

وتعمل الثغرة من خلال تثبيت تطبيق واتساب على أي هاتف ذكي، وحين يطلب التطبيق من المخترق إدخال رقم هاتف لإنشاء حساب جديد، يدخل المخترق رقم الضحية، فيرسل واتساب الكود التأكيدي على رقم الضحية في صورة رسائل SMS أو مكالمات صوتية، وفي النهاية يطلب المخترق من واتساب إيقاف الحساب، والخدمة توافق من دون التأكد من هوية من يطلب.

هجوم خبيث

وقال لويس ماركيز وإيرنيستو كاناليز، الباحثان اللذان اكتشفا الثغرة، إن بعد محاولات للمخترق بتخمين الكود التأكيدي عدة مرات، يوقف واتساب محاولاته لمدة 12 ساعة، وخلال تلك الأثناء تستمر الخدمة في العمل بشكل طبيعي على هاتف الضحية، وفقاً لما نشره موقع فوربس.

ولكن الهجوم الخبيث يتطور حين يرسل المخترق رسالة بريد إلكتروني إلى عنوان الدعم الفني لدى واتساب يطلب منهم عبرها وقف حساب الضحية على الخدمة، ويرفق بالبريد الإلكتروني رقم هاتف الضحية، منتحلاً صفته، وعندها يتم غلق الحساب.

وتتمثل المشكلة الرئيسية هنا في أن عملية غلق الحساب تجرى بشكل أوتوماتيكي، ولا يتدخل فيها أي عنصر بشري، وبالتالي فإن المخترق يصمم رسالته الإلكترونية، بواسطة كلمات مفتاحية تدفع النظام الإلكتروني إلى اتخاذ قرار غلق حساب الضحية من دون الحاجة لتدخل بشري.

وقف الحساب

بعد مرور ساعة تقريباً، يتوقف حساب الضحية عن العمل، ويبدأ واتساب في إظهار رسالة تنبيه تشير إلى توقف الحساب عن العمل، وأن رقم الهاتف لم يعد مسجلاً على واتساب في هذا الهاتف، لأنه مسجل على هاتف آخر.

ويطلب التطبيق من المستخدم، أن يقوم بطلب كود تأكيدي، بحيث تتأكد الخدمة من هوية المستخدم، وحينها يتم إعادة تفعيل حسابه من جديد.

ولكن لا تصل هاتف الضحية أي رسائل نصية، ويظهر إشعار تنبيهي يشير إلى أن الضحية قد حاول تسجيل رقم الهاتف مؤخراً، إلا أنه لم يقم بذلك، والمخترق هو من حاول تسجيل الدخول مرات عديدة من هاتف آخر.

24 ساعة

بعد مرور مدة الانتظار 12 ساعة، سيصبح بإمكان المخترق أن يعاود المحاولة من جديد مع رقم هاتف المستخدم الضحية، والذي سيحاول هو الآخر في ذلك الوقت استعادة حسابه أيضاً، من دون أن يدرك أن الـ24 ساعة القادمة ستكون أسوأ.

أشار الباحثان إلى أنه بعد مرور المدة الأولى، سيقوم المخترق بالمحاولة من جديد، وإذا قام بمحاولات عديدة فاشلة، فسيحظى بحظر آخر من المحاولة لمدة 12 ساعة.

هذه المرة سيكون المؤقت الزمني الذي يشير إلى مرور الـ 12 ساعة ظاهراً على هاتفي المخترق والضحية في الوقت ذاته، وبالتالي يصبح حساب الضحية موقوفاً ولا يمكنه الدخول إليه، كما هو حال المخترق.

في حال عاود المخترق الكرة للمرة الثالثة، سيظهر واتساب رسالة تنبيهية تقول إن المستخدم يمكنه إعادة محاولة إدخال الكود التأكيدي خلال "ثانية واحدة"، وهو ما يعكس تعطل نظام واتساب لإعادة تفعيل حساب الضحية، وذلك الإشعار يظهر على هاتفي الضحية والمخترق في الوقت ذاته.

 المثير في تلك الثغرة هو أن واتساب لا يعتمد أبداً على أي طريقة منطقية للتأكد من هوية مرسل طلب إيقاف حساب ما، ويعتمد فقط على رقم الهاتف المرفق في الرسالة الإلكترونية لوقف الحساب المرتبط به، وذلك يفتح المجال أمام المخترقين والمتطفلين للتلاعب بخصوصية المستخدمين.

رد واتساب

وأشار المتحدث باسم واتساب إلى أن الهجوم الجديد يخالف معايير وسياسات استخدام الخدمة، ويجب على المستخدمين تفعيل ميزة تأكيد الهوية بخطوتين (2FA) عبر الإيميل، بحيث يقومون بربط حساباتهم ببريد إلكتروني، ليتمكنوا من حماية أنفسهم.

الأكثر قراءة

سياسة

ذعر في باكستان بعد تعهد الهند بقطع إمدادات المياه من نهر السند

1
ذعر في باكستان بعد تعهد الهند بقطع إمدادات المياه من نهر السند
سياسة

تقارير: وقود للصواريخ الباليستية وراء انفجار بندر عباس في إيران

2
تقارير: وقود للصواريخ الباليستية وراء انفجار بندر عباس في إيران
سياسة

بعد تعيينه نائباً لرئيس منظمة التحرير ودولة فلسطين.. من هو حسين الشيخ؟

3
بعد تعيينه نائباً لرئيس منظمة التحرير ودولة فلسطين.. من هو حسين الشيخ؟
سياسة

روسيا تعلن تحرير كورسك من القوات الأوكرانية.. وكييف: نواصل العمليات في بعض الأنحاء

4
روسيا تعلن تحرير كورسك من القوات الأوكرانية.. وكييف: نواصل العمليات في بعض الأنحاء
سياسة

"تعمد أو إهمال".. خامنئي يدعو إلى "تحقيق واسع" في انفجار ميناء رجائي

5
"تعمد أو إهمال".. خامنئي يدعو إلى "تحقيق واسع" في انفجار ميناء رجائي