Bug WhatsApp ini memungkinkan penyerang menonaktifkan akun pengguna secara permanen dari jarak jauh

5 3 minutes read

Sementara WhatsApp adalah salah satu platform perpesanan paling populer, aplikasi tersebut baru-baru ini menempatkan pengguna pada risiko dengan sejumlah masalah, termasuk pembaruan pada kebijakan privasinya. Kami baru-baru ini menyaksikan penipuan jahat yang beredar di WhatsApp yang memungkinkan kontak pengguna untuk meretasnya. Sekarang, kerentanan yang lebih mematikan telah terungkap yang menggunakan sistem verifikasi WhatsApp untuk memungkinkan peretas menonaktifkan akun pengguna secara permanen.

Kerentanan dalam Sistem Verifikasi Pengguna WhatsApp

Ditemukan oleh peneliti keamanan Luis Marquez Carpintero dan Ernesto Canales Perena dan terungkap oleh Forbes, peretasan baru ini dapat mematikan bagi pengguna WhatsApp karena melibatkan proses yang cukup sederhana meskipun membosankan. Selanjutnya, siapa pun dengan nomor telepon Anda dapat melakukan proses dari jarak jauh. Yang lebih berbahaya adalah bahkan otentikasi dua faktor (2FA) tidak akan dapat menyimpan akun Anda dari proses penonaktifan.

Bagaimana itu bekerja?

Peretasan penonaktifan akun jarak jauh baru menggunakan kelemahan keamanan di dua arsitektur verifikasi ID WhatsApp. Yang pertama terkait dengan proses masuk OTP platform dan yang kedua ada di pengatur waktu yang disetel platform secara otomatis setelah beberapa kali upaya login gagal.

Dalam proses ini, penyerang yang mengetahui nomor telepon Anda dapat memulai dengan meletakkan nomor Anda di layar login WhatsApp. Sekarang, perlu diingat bahwa saat penyerang melakukan tindakan awalnya, Anda hanya akan terpengaruh sebagian tetapi akan dapat menggunakan platform seperti biasa. Namun, Anda akan menerima banyak kode login melalui SMS karena penyerang sekarang menempatkan kode acak selama proses login untuk memulai proses tahap kedua.

Pada fase kedua, setelah beberapa kali upaya login gagal dari nomor Anda, WhatsApp akan menyetel pengatur waktu 12 jam untuk membatasi sistem agar tidak menghasilkan kode login baru dalam jangka waktu yang ditentukan. Penyerang sekarang dapat menggunakan alamat email palsu untuk mengirim permintaan penonaktifan akun ke [email protected] untuk menonaktifkan akun Anda. Jadi pada titik ini, WhatsApp telah melihat beberapa upaya login yang gagal ke akun Anda dan menerima permintaan penonaktifan akun untuk akun yang terkait dengan nomor telepon Anda.

Peretasan WhatsApp memungkinkan penyerang menonaktifkan akun pengguna

Akibatnya, satu jam kemudian, Anda akan secara otomatis dikeluarkan dari akun Anda dan menerima email penonaktifan akun dari WhatsApp. Sekarang, lucunya adalah ketika Anda mencoba untuk mendaftar ulang akun Anda, Anda harus masukkan OTP yang dikirim oleh WhatsApp. Namun, saat ini tidak mungkin karena ada pengatur waktu 12 jam yang membatasi platform untuk menghasilkan kode login baru untuk akun Anda. Dan pengatur waktu ini seperti Anda dan penyerang yang menciptakan situasi ini.

Jadi Anda bisa mencoba mendaftarkan akun Anda kembali setelah waktu habis. Namun, jika penyerang melakukan trik yang sama sebelum Anda mendaftar ulang, prosesnya bisa menjadi gila.

Masalah sistem

Sekarang, titik lemah kedua dalam arsitektur inti WhatsApp. Sistem keamanan otomatis, setelah sejumlah iterasi tertentu, rusak begitu saja. Oleh karena itu, jika penyerang mendorong akun Anda ke tahap ini dengan berulang kali mengikuti proses login yang gagal, pada satu waktu, alih-alih penghitung waktu 12 jam untuk menghasilkan kode baru, sistem sistem akan menampilkan penghitung waktu -1 detik untuk hal yang sama. Ini berarti sistem verifikasi otomatis telah mencapai batas dan kecelakaan.

Jadi sekarang, Anda tidak akan dapat membuat kode login baru untuk nomor telepon Anda seperti itu permanen, berkat sistem yang rusak. Akibatnya, akun Anda akan tetap dinonaktifkan selama 30 hari ke depan, setelah itu WhatsApp akan secara otomatis menghapus akun Anda dari database secara permanen.

Ini benar-benar proses yang membosankan tetapi cukup sederhana. Siapa pun yang memiliki ponsel cerdas dapat memanfaatkan lubang keamanan otomatis ini di WhatsApp untuk menonaktifkan akun pengguna dari jarak jauh.

Bisakah itu diperbaiki?

Peneliti keamanan, setelah menemukan kerentanan yang disebutkan di atas, mengatakan bahwa masalahnya dapat dengan mudah diperbaiki dengan dukungan multi-perangkat yang telah lama dikerjakan WhatsApp. Dengan dukungan multi-perangkat, platform dapat menggunakan sistem perangkat yang andal seperti Apple untuk memverifikasi perangkat yang digunakan pengguna untuk mengakses akun mereka.

Namun, hingga saat ini, tidak ada alternatif untuk proses ini. Jadi, jika Anda mulai menerima kode login acak dari WhatsApp dalam beberapa hari mendatang, Anda akan tahu bahwa seseorang mencoba menonaktifkan akun Anda. Anda dapat menghubungi tim dukungan WhatsApp untuk memberi tahu mereka sebelumnya tentang situasi tersebut untuk menjaga keamanan akun Anda. Juga, sebarkan berita di antara teman dan keluarga Anda agar mereka tetap mendapat informasi tentang peretasan WhatsApp yang berbahaya ini.

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	apsachieveonline.org	WP GDPR Cookie Consent Preferences	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
AWSALB	api.intentiq.com	Amazon Web Services Load Balancer cookie.	7 days	HTTP

Name	Domain	Purpose	Expiry	Type
VISITOR_INFO1_LIVE	youtube.com	YouTube cookie.	Session	HTTP
GPS	youtube.com	Google advertising domain	Session	HTTP

Name	Domain	Purpose	Expiry	Type
uid	tynt.com	Generic AddThis tracking cookie.	1 year	HTTP
bkdc	bluekai.com	BlueKai tracking cookie.	Session	HTTP
bku	bluekai.com	BlueKai tracking cookie.	Session	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	1 day	HTTP
_cc_dc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_id	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_cc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_aud	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
vuid	vimeo.com	Vimeo tracking cookie	2 years	HTTP

Name	Domain	Purpose	Expiry	Type
CountUid	histats.com	---	1 year	---
HstCfa4342789	apsachieveonline.org	---	1 year	---
HstCmu4342789	apsachieveonline.org	---	1 year	---
HstCnv4342789	apsachieveonline.org	---	1 year	---
HstCns4342789	apsachieveonline.org	---	1 year	---
m	dtscout.com	---	Session	---
df	dtscout.com	---	3 months	---
l	dtscout.com	---	3 months	---
__stid	sharethis.com	---	1 year	---
__dtsu	apsachieveonline.org	---	3 months	---
33x_ps	33across.com	---	1 year	---
__cfduid	apsachieveonline.org	Generic CloudFlare functional cookie.	1 year	HTTP
HstCla4342789	apsachieveonline.org	---	1 year	---
HstPn4342789	apsachieveonline.org	---	1 year	---
HstPt4342789	apsachieveonline.org	---	1 year	---
b	dtscout.com	---	Session	---
st	dtscout.com	---	Session	---
pxcelPage_c010_C	t.sharethis.com	---	14 days	---
pids	tynt.com	---	3 months	---
pxcelBcnLcy	t.sharethis.com	---	51 years	---
ab	agkn.com	---	1 year	---
IQver	intentiq.com	---	2 years	---
intentIQ	intentiq.com	---	2 years	---
intentIQCDate	intentiq.com	---	2 years	---
AWSALBCORS	api.intentiq.com	---	7 days	---
bkpa	bluekai.com	---	6 months	---

Kerentanan dalam Sistem Verifikasi Pengguna WhatsApp

Bagaimana itu bekerja?

Masalah sistem

Bisakah itu diperbaiki?

Pos terkait

GameSir F8 Pro Snowgon adalah pengontrol portabel yang dapat berfungsi sebagai kipas pendingin

Cara membuat filter untuk Facebook y Instagram menggunakan Spark AR Studio

Runkeeper menghentikan aplikasi Wear OS

Cara memperbaiki Tampilan Cepat saat memuat di macOS