طبق تحقیقاتی که توسط Forbes صورت گرفته است، حفرهی امنیتی جدیدی در واتساپ یافت شده که به موجب آن میتوان به راحتی حساب کاربران را به حالت تعلیق درآورد. چیزی که این خطر را برای کاربران بیشتر میکند سادگی این ترفند و نیاز آن به شمارهی همراه کاربر هدف است. در ادامه خواهیم دید که این باگ ساده چگونه میلیونها کاربر را غافلگیر خواهد کرد.
در ابتدا مهاجمان واتساپ را بر روی گوشی جدیدی نصب میکنند و با استفاده از شمارهی تلفنی که از کاربر هدف در اختیار دارند، اقدام به ساخت حساب کاربری میکنند. حال چیزی که اتفاق میافتد این است که واتساپ برای اطمینان از اینکه دارندهی اکانت خود شخصاً اقدام به ساخت اکانت مجدد کرده برای احراز هویت، کد تأیید دو مرحلهای را به شمارهی ثبت شده در حساب کاربری میفرستد.
اما از آنجایی که این کد برای مهاجم فرستاده نمیشود، مرحلهی احراز هویت بارها و بارها به شکست میانجامد تا در نهایت اکانت واتساپ با آن شماره، برای ۱۲ ساعت به حالت تعلیق دربیاید.
در قدم بعدی فرد مهاجم ایمیلی را برای پشتیبانی واتساپ ارسال کرده و این طور ادعا میکند که گوشی او (که در واقع گوشی فرد قربانی باشد) به سرقت رفته یا گم شده است؛ از این رو درخواست میکند تا واتساپ، حساب کاربری با آن شماره تلفن را مسدود کند.
در ادامهی این درخواست، واتساپ به شکل غافلگیر کنندهای بدون نیاز به اینکه از ثبت درخواست توسط صاحب اصلی اکانت اطمینان یابد، حساب کاربری را مسدود میکند و آن را از دسترس کاربر خارج میسازد.
اگرچه هکرها نمیتوانند از این طریق وارد حساب کاربری فرد قربانی شوند و اطلاعات کاربر همچنان محفوظ میماند اما این خطری احتمالی است که میتواند میلیونها کاربر را در سراسر جهان با مشکل مواجه سازد.
واتساپ نیز همچنان اصرار بر استفادهی کاربران از ایمیل و کد تأیید دو مرحلهای به عنوان روشهای حراز هویت دارد. اما با این وجود هنوز نمیتوان جلوی این حفرهی امنیتی را گرفت؛ هرچند که واتساپ رسماً استفاده از این باگ را خلاف خط مشی خود خوانده است.