Close

이 WhatsApp 취약점은 매우 멍청하지만 무기한으로 계정에서 로그 아웃하는 것을 방지 할 수 있습니다.

이 WhatsApp 취약점은 매우 멍청하지만 무기한으로 계정에서 로그 아웃하는 것을 방지 할 수 있습니다.
ByRyeo Hae-Won
  • Published4월 13, 2021

보안 연구원은 더 많은 사용자를 끌어들일 수있는 WhatsApp의 새로운 결함을 발견했습니다. Facebook 소유 메시징 서비스 종료. 맬웨어는이 취약성을 쉽게 악용하여 WhatsApp 계정에서 사용자를 무기한 차단할 수 있으므로 20 억이 넘는 메신저 사용자에게 단순한 번거 로움 이상이됩니다. 그러나 이것은 최악의 부분이 아닙니다.

연구원 Luis Marquez Carpintero와 Ernesto Canales Berina에 따르면 (건너서 포브스), 공격자는이 취약점을 악용하기 위해 특별한 소프트웨어 나 교육이 필요하지 않습니다. 그들은 당신의 전화 번호에 접근하기 만하면됩니다. 일단 그들이 그것을 얻으면 그들은 많은 노력없이 당신의 WhatsApp 계정을 잠글 수 있습니다. 작동 방식은 다음과 같습니다.

WhatsApp은 새 장치에 로그인 할 때마다 이중 인증이 필요합니다. 이를 위해 서비스는 인증을 위해 6 자리 코드를 귀하의 전화 번호로 전송합니다. 잘못된 코드를 여러 번 입력하면 WhatsApp이 자동으로 12 시간 동안 계정을 일시 중지합니다.

WhatsApp 2FA 전화 번호 확인 프로세스

전화 확인 프로세스 (이미지 : Forbes)

공격자는 새 기기에 WhatsApp을 설치하고 전화 번호를 입력 한 다음 반복적으로 잘못된 코드를 입력하여이 이중 인증 시스템을 악용 할 수 있습니다. 이로 인해 향후 12 시간 동안 새 장치에 로그인 할 수 없지만 기존 WhatsApp 설치에는 영향을주지 않습니다. 의도 한대로 계속 작동합니다.

WhatsApp 전화 번호 확인이 잘못된 코드로 실패했습니다.

잘못된 코드를 입력하면 12 시간 보류됩니다 (이미지 : Forbes).

새 장치에 무기한 로그인하는 것을 방지하기 위해 공격자는 위의 단계를 세 번만 반복하면됩니다. 세 번째 12 시간주기에서 앱 보류 타이머가 중단되고 대신 “-1 초”타이머가 표시되기 시작합니다. 이 오류가 나타나면 WhatsApp에서 새 장치에 로그인 할 수 없습니다. 그러나 현재 설치는 계속 작동합니다. 그러나 허점은 그 영향을 극적으로 높이기 위해 앞으로 묶일 수 있기 때문에 여기서 끝나지 않습니다.

-WhatsApp에서 로그인을 일시 중지하는 1 초 오류

전화 번호 확인을위한 카운트 다운 오류 -1 초 (이미지 : Forbes)

공격자의 마지막 단계는 현재 설치를 중단하고 귀하의 계정은 영구적으로 금지됩니다. 이를 위해 공격자는 WhatsApp에 이메일을 보내 서비스에 전화 번호 비활성화를 요청하는 것이 필요합니다. WhatsApp은 공격자에게 번호 확인을 요청하는 자동 응답을 보낼 수 있으며, 번호가 확인되면 WhatsApp이 사용자 모르게 자동으로 계정을 비활성화합니다.

WhatsApp 계정을 비활성화하는 이메일

계정 비활성화를 위해 WhatsApp 지원에 이메일 보내기 (이미지 : Forbes)

현재 WhatsApp 설치가 갑자기 작동을 중지하고 다음 알림이 표시됩니다. “귀하의 전화 번호는 더 이상이 전화의 WhatsApp에 등록되어 있지 않습니다. 다른 전화에 등록했기 때문일 수 있습니다. 이렇게하지 않은 경우 전화 번호를 확인하여 계정에 다시 로그인하십시오.” 이제 전화 번호를 확인하려고 할 때 “-1 초”대기 타이머가 표시되고 전혀 로그인 할 수 없습니다.

이메일 비활성화에 대한 WhatsApp 자동 응답

이메일 비활성화에 대한 WhatsApp 자동 응답 (이미지 : Forbes)

이 공격에 대한 합병증이 없기 때문에 귀하의 전화 번호에 액세스 할 수있는 사람은 누구나 며칠 이내에 WhatsApp 계정에서 귀하를 쉽게 차단할 수 있습니다. 따라서 WhatsApp은이 눈부신 문제를 즉시 해결해야합니다.

메신저는 이미 문제에 대해 경고를 받았습니다. 공개에 대해 WhatsApp 대변인은 다음과 같이 말했습니다. 포브스 어느-어느 “2 단계 인증 프로세스가 포함 된 이메일 주소를 제공하면 고객 서비스 팀이이 가능성이없는 문제가 발생할 경우 지원하는 데 도움이됩니다.” WhatsApp이이 문제를 “가능성이 낮은”문제로 간주한다는 사실은 많은 사용자가 서비스를 피하는 데 충분한 이유가 될 것입니다. 또한 대변인은 악용하려는 사람들이 WhatsApp의 서비스 약관을 위반한다고 덧붙였습니다. 그렇게하면 모든 해커가 겁을 먹고 피셔가 부주의 한 사용자를 악용하는 것을 방지 할 수 있습니다.

우리는 독자들에게이 취약점을 악용하지 말 것을 촉구합니다. WhatsApp의 서비스 약관을 위반하면 감옥에 갇히기 때문이 아니라 다소 우스꽝 스럽기 때문입니다. 또한 마침내 다른 서비스로 전환 할 준비가 되었다면 WhatsApp의 대안에 대한 심층 가이드 다른 플랫폼으로 전환 할 때의 모든 장점과 단점을 강조합니다.

Leave a Reply

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다