Sign up to save your podcasts
Or
Share خبر سيئ لمستخدمي تطبيق واتساب هفوة خطرة في التطبيق لا تنوي فيسبوك تصحيحها!
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
خبر سيئ لمستخدمي تطبيق واتساب هفوة خطرة في التطبيق لا تنوي فيسبوك تصحيحها!
تنقل نايلة الصليبي في "إي ميل" مونت كارلو الدولية تحذير خبراء أمن المعلومات و الأمن السيبراني بالإضافة للصحافيين المتخصصين في تكنولوجيا المعلومات من خلل في تطبيق واتساب يتيح لأي شخص تعطيل حساب أي مستخدم مستهدف عن طريق اختطاف نظام المصادقة الثنائية2FA
اكتشف الباحثان الأمنيان Luis Márquez Carpintero و Ernesto Canales Pereña خللا في تطبيق واتساب يتيح لأي شخص تعطيل حساب أي مستخدم مستهدف عن طريق اختطاف نظام المصادقة الثنائية2FA .وفي العاشر من أبريل/ نيسان2021 نشره على موقع فوربس Zak Doffman وهو متخصص في أمن السيبراني والمراقبة السيبرانية.
حسب التقرير يمكن للقراصنة استغلال ثغرة في نظام المصادقة على رقم المستخدم عن طريق تثبيت تطبيق "واتساب" على هاتف جديد، ثم يدخل القراصنة رقم هاتف الضحية لتفعيل الحساب. ومعروف أن تطبيق واتساب ليس بإمكانه التحقق من الرقم بشكل كامل، اذ يكتفي بإرسال رمز سري إلى رقم الهاتف.
يطلب القراصنة الرمز السري بشكل متكرر ويدخلون تخمينات غير صحيحة في تطبيقهم. يتلقى المستخدم الضحية رموز عبر الرسائل القصيرة، وربما عبر المكالمات الهاتفية أيضا، ولكن لا يوجد شيء يمكنه القيام به، إذ لا يوجد مكان لإدخال تلك الرموز. طبعا العملية مضيعة للوقت وغالبا ما يتجاهل المستخدم الضحية هذه العملية.
في حين أن واتساب على هاتف الضحية يعمل بشكل طبيعي، فقد منع القراصنة إرسال أي رمز سري جديدة أو دخول الضحية إلى شاشة التحقق، يتم تعليق حساب المستخدم لمدة 12 ساعة. ويبدأ عندئذ العد التنازلي .
فبمجرد إغلاق حساب الضحية، يرسل مستغل الثغرة رسالة طلب دعم إلى واتساب من عنوان بريده الإلكتروني، مدعيا أن هاتفه ضاع أو سرق، وأن الحساب المرتبط برقم الضحية، يجب أن يتم إلغاء تنشيطه بشكل عاجل.
أي ان نظام المساعدة في واتساب يتلقى بريدا إلكترونيا يشير إلى رقم هاتف الضحية. ليس لدى واتساب أي وسيلة للتحقق من هوية صاحب البريد الإلكتروني، ولا توجد أي وسيلة لتأكيد ملكية رقم الهاتف. وتنطلق عندئذ عملية إلغاء تنشيط حساب المستخدم الضحية بشكل تلقائي.
يتوقف واتساب عن العمل على هاتف الضحية الذي يرى إشعارا مقلقا: "لم يعد رقم هاتفك مسجلا مع خدمة واتساب على هذا الهاتف". قد يكون هذا لأنك سجلته على هاتف آخر. إذا لم تقم بذلك، تحقق من رقم هاتفك لتسجيل الدخول مرة أخرى إلى حسابك."
إذا كان القراصنة يريدون حقا حظر الحساب، يمكنهم تكرار عملية طلب الرمز السري . وبعد ثلاث محاولات فاشلة، يتم إلغاء تنشيط الحساب نهائيا اذ تعتبره منصة واتساب حسابا احتياليا.
ماذا يجب أن نفعل؟ تمكين نظام المصادقة الثنائية2FA لمنع اختطاف الحساب، ومن وتضمين عنوان بريد إلكتروني للمساعدة في حالة حدوث ذلك يجب، مراقبة التحذيرات التي يرسلها واتساب من أن شخصا ما قد طلب رموز التحقق الخاصة، وفي حال استمرار هذه الاشعارات الاتصال فورا بخدمة دعم واتساب.
يبقى أنه حتى اليوم مع كل الإشعارات من خبراء أمن المعلومات والصحافة ليس هنالك أي تجاوب من شركة فيسبوك مالكة واتساب التي تتبع منذ مدة سياسة النعامة وتخفيف خطر الهفوات التي يُعثر عليها على مختلف منصاتها.
يمكنكم التواصل مع نايلة الصليبي عبر صفحة برنامَج "إي ميل" مونت كارلو الدولية على لينكد إن تويتر @salibi و @mcd_digital وعبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي
View all episodes
By مونت كارلو الدولية / MCDتنقل نايلة الصليبي في "إي ميل" مونت كارلو الدولية تحذير خبراء أمن المعلومات و الأمن السيبراني بالإضافة للصحافيين المتخصصين في تكنولوجيا المعلومات من خلل في تطبيق واتساب يتيح لأي شخص تعطيل حساب أي مستخدم مستهدف عن طريق اختطاف نظام المصادقة الثنائية2FA
اكتشف الباحثان الأمنيان Luis Márquez Carpintero و Ernesto Canales Pereña خللا في تطبيق واتساب يتيح لأي شخص تعطيل حساب أي مستخدم مستهدف عن طريق اختطاف نظام المصادقة الثنائية2FA .وفي العاشر من أبريل/ نيسان2021 نشره على موقع فوربس Zak Doffman وهو متخصص في أمن السيبراني والمراقبة السيبرانية.
حسب التقرير يمكن للقراصنة استغلال ثغرة في نظام المصادقة على رقم المستخدم عن طريق تثبيت تطبيق "واتساب" على هاتف جديد، ثم يدخل القراصنة رقم هاتف الضحية لتفعيل الحساب. ومعروف أن تطبيق واتساب ليس بإمكانه التحقق من الرقم بشكل كامل، اذ يكتفي بإرسال رمز سري إلى رقم الهاتف.
يطلب القراصنة الرمز السري بشكل متكرر ويدخلون تخمينات غير صحيحة في تطبيقهم. يتلقى المستخدم الضحية رموز عبر الرسائل القصيرة، وربما عبر المكالمات الهاتفية أيضا، ولكن لا يوجد شيء يمكنه القيام به، إذ لا يوجد مكان لإدخال تلك الرموز. طبعا العملية مضيعة للوقت وغالبا ما يتجاهل المستخدم الضحية هذه العملية.
في حين أن واتساب على هاتف الضحية يعمل بشكل طبيعي، فقد منع القراصنة إرسال أي رمز سري جديدة أو دخول الضحية إلى شاشة التحقق، يتم تعليق حساب المستخدم لمدة 12 ساعة. ويبدأ عندئذ العد التنازلي .
فبمجرد إغلاق حساب الضحية، يرسل مستغل الثغرة رسالة طلب دعم إلى واتساب من عنوان بريده الإلكتروني، مدعيا أن هاتفه ضاع أو سرق، وأن الحساب المرتبط برقم الضحية، يجب أن يتم إلغاء تنشيطه بشكل عاجل.
أي ان نظام المساعدة في واتساب يتلقى بريدا إلكترونيا يشير إلى رقم هاتف الضحية. ليس لدى واتساب أي وسيلة للتحقق من هوية صاحب البريد الإلكتروني، ولا توجد أي وسيلة لتأكيد ملكية رقم الهاتف. وتنطلق عندئذ عملية إلغاء تنشيط حساب المستخدم الضحية بشكل تلقائي.
يتوقف واتساب عن العمل على هاتف الضحية الذي يرى إشعارا مقلقا: "لم يعد رقم هاتفك مسجلا مع خدمة واتساب على هذا الهاتف". قد يكون هذا لأنك سجلته على هاتف آخر. إذا لم تقم بذلك، تحقق من رقم هاتفك لتسجيل الدخول مرة أخرى إلى حسابك."
إذا كان القراصنة يريدون حقا حظر الحساب، يمكنهم تكرار عملية طلب الرمز السري . وبعد ثلاث محاولات فاشلة، يتم إلغاء تنشيط الحساب نهائيا اذ تعتبره منصة واتساب حسابا احتياليا.
ماذا يجب أن نفعل؟ تمكين نظام المصادقة الثنائية2FA لمنع اختطاف الحساب، ومن وتضمين عنوان بريد إلكتروني للمساعدة في حالة حدوث ذلك يجب، مراقبة التحذيرات التي يرسلها واتساب من أن شخصا ما قد طلب رموز التحقق الخاصة، وفي حال استمرار هذه الاشعارات الاتصال فورا بخدمة دعم واتساب.
يبقى أنه حتى اليوم مع كل الإشعارات من خبراء أمن المعلومات والصحافة ليس هنالك أي تجاوب من شركة فيسبوك مالكة واتساب التي تتبع منذ مدة سياسة النعامة وتخفيف خطر الهفوات التي يُعثر عليها على مختلف منصاتها.
يمكنكم التواصل مع نايلة الصليبي عبر صفحة برنامَج "إي ميل" مونت كارلو الدولية على لينكد إن تويتر @salibi و @mcd_digital وعبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي