Mobiles

Dangerous WhatsApp Flaw Allows Cyber Criminals to Block Your Account: Here’s How You Can Stay Safe

Written by Abbas


WhatsApp दोष

एक और दिन, WhatsApp पारिस्थितिकी तंत्र में एक और नए प्रकार की सुरक्षा विफलता को उजागर किया जाएगा। नवीनतम संस्करण थोड़ा अजीब है क्योंकि इसमें छिपे हुए शून्य-दिवस के हैक या किसी भी समान दुविधाओं का उपयोग शामिल नहीं है। इसके बजाय, इसकी भूमिका उपयोगकर्ताओं को अपने व्हाट्सएप चैट में लॉक करने के लिए व्हाट्सएप लॉगिन और सत्यापन प्रणाली में सूक्ष्म कमजोरियों का उपयोग करना है, जिसके परिणामस्वरूप वर्कफ़्लो रुकावट, डेटा हानि और सामान्य असुविधा होती है।सुरक्षा शोधकर्ताओं लुइस कार्पेंथो और अर्नेस्टो पेरिना द्वारा रिपोर्ट की गई फोर्ब्सउक्त व्हाट्सएप भेद्यता एक बहुत ही सरल हमला है जो उपयोगकर्ताओं को उनके खातों से हमेशा के लिए बंद करने के लिए बुनियादी लेकिन स्पष्ट रूप से प्रभावी तकनीकों का उपयोग करता है।

भेद्यता तब शुरू हुई जब एक हमलावर ने कई लॉगिन प्रयासों के माध्यम से किसी के फोन नंबर को लक्षित किया।यहां एक बात ध्यान देने वाली है कि अगर कोई व्यक्ति उनके पास जाता है WhatsApp खाता, तीसरी पार्टी अन्य उपकरणों पर लॉग-इन करने के लिए पूर्व फोन नंबर का उपयोग करने की कोशिश कर सकती है-बिना किसी सवाल के। इस लॉगिन प्रक्रिया के दौरान, हमलावर स्पष्ट रूप से उपयोगकर्ता के डिवाइस पर भेजे जाने वाले छह अंकों के वन-टाइम पासवर्ड तक पहुंचने में सक्षम नहीं होगा। इस स्तर पर, उपयोगकर्ताओं को अचानक व्हाट्सएप लॉगिन ओटीपी द्वारा बमबारी की जा सकती है, भले ही उन्हें स्वयं इसकी आवश्यकता न हो। हालांकि दुर्भाग्य से, उन उपयोगकर्ताओं के लिए भी जो समस्या के बारे में जानते हैं, कुछ भी नहीं है जो वे कर सकते हैं, लेकिन यह स्पष्ट रूप से इंगित करता है कि समस्या है।

इसके बाद, हमलावरों ने सुरक्षा मुद्दों का उपयोग यह दिखाने के लिए एक बहाने के रूप में किया कि वे एक निश्चित संख्या में प्रयासों के बाद 12 घंटे के भीतर एक नया लॉगिन कोड कैसे प्राप्त नहीं कर सकते। इस स्तर पर, हमलावर ने अपनी व्हाट्सएप समर्थन टीम को एक ईमेल भेजा जिसमें कहा गया था कि उनका खाता हैक या चोरी हो गया है और उन्हें सभी उपकरणों पर खाते तक पहुंच को अवरुद्ध करने के लिए कहा है। यह आश्चर्यजनक हिस्सा है, क्योंकि भले ही आप उस खाते से एक यादृच्छिक ईमेल प्राप्त करते हैं जो संख्या से संबंधित नहीं है, व्हाट्सएप समर्थन उस खाते तक पहुंच को अवरुद्ध करना जारी रखेगा-कोई सवाल नहीं उठाया जाएगा। यहां तक ​​कि वास्तविक उपयोगकर्ता जो अभी भी अपने व्हाट्सएप खातों में हमेशा की तरह लॉग इन करते हैं, वे इस समय अचानक लॉग आउट हो जाएंगे।

उसके बाद, उपयोगकर्ता अपने खातों को पुनः प्राप्त नहीं कर सकते क्योंकि वे हमलावरों के समान प्रतिबंधों के अधीन हैं। मामले को बदतर बनाने के लिए, निर्धारित 12 घंटों के बाद भी, हमलावर दो राउंड के लिए इस प्रक्रिया को दोहरा सकता है, और तीसरे दौर में, व्हाट्सएप अपने खाते तक पहुंच को स्थायी रूप से अवरुद्ध करने लगता है क्योंकि इस मामले में, खाते को बहाल नहीं किया जाएगा। निर्दिष्ट संख्या में घंटे के बाद एक पुनर्प्राप्ति योग्य स्थिति। यदि 12 घंटों के भीतर कोई उपाय नहीं किया जाता है, तो सभी डेटा स्थायी रूप से हटा दिए जाएंगे।

कार्पेंथेरो और पेरेना ने व्हाट्सएप के इस इंजीनियरिंग दृष्टिकोण की खोज की। उन्होंने कहा कि वास्तविक समस्या ईमेल मंच पर सत्यापन की कमी थी और यह कि दो-कारक प्रमाणीकरण पूरी तरह से प्रक्रिया-आदर्श में दरकिनार किया गया था, यह एक तरह से वास्तविक मालिक होना चाहिए खाते ऐसे हैकिंग प्रयासों को बायपास कर सकते हैं और अपने स्वयं के व्हाट्सएप खाते को फिर से नियंत्रित या बनाए रख सकते हैं। इसके बजाय, यहां समस्या यह है कि व्हाट्सएप 2FA स्क्रीन ओटीपी स्क्रीन के पीछे है, जिसका अर्थ है कि एक बार ओटीपी प्राप्त करने के लिए बंद कर दिया गया, 2FA कदम पूरी तरह से अर्थहीन माना जाता है।

सुरक्षा उपाय के रूप में, शोधकर्ताओं ने कहा कि एक बार सुविधा (वर्तमान में बीटा में) को एक स्थिर संस्करण के रूप में लॉन्च किया जाता है, व्हाट्सएप मल्टी-डिवाइस लिंकिंग और ऑन-डिवाइस प्रमाणीकरण को एक प्रक्रिया के रूप में मान सकता है। उन्होंने यह भी सुझाव दिया कि व्हाट्सएप इस प्रकार के सर्किट ब्रेकर में सर्किट ब्रेकर के रूप में 2FA का उपयोग करता है, और आगे बताया कि समस्या यह है कि व्हाट्सएप खातों को सार्वजनिक रूप से ढूंढना आसान है। एक व्हाट्सएप प्रवक्ता ने फोर्ब्स को बताया कि हमलावरों द्वारा ऐसा व्यवहार उनकी उपयोग नीति का उल्लंघन करेगा। उपयोगकर्ताओं को सत्यापन की एक परत जोड़ने और इस तरह की हैकिंग को रोकने के लिए 2FA सेट करते समय अपने स्वयं के ईमेल पते प्रदान करने चाहिए।

यद्यपि इस प्रकार की हैकिंग को अंजाम देने के लिए आवश्यक स्तर और इसके परिणामस्वरूप विनाश का मतलब है कि यह केवल उन व्यक्तियों पर लागू होता है जो बड़े पैमाने पर हमलों के बजाय व्यक्तियों को लक्षित करना चाहते हैं, फिर भी यह ऐसे हमलों को अनिवार्य रूप से गंभीर होने से नहीं रोक सकता है। हमेशा की तरह, उपयोगकर्ताओं को सतर्क रहने और अनावश्यक क्षेत्रों में अपना फोन नंबर साझा न करने या कहीं भी अपना ओटीपी लीक करने का आग्रह किया जाता है।





Source link

About the author

Abbas

Leave a Comment