Hindistan’ın siber güvenlik otoritesi, WhatsApp kullanıcılarını dünya genelini ilgilendiren kritik bir güvenlik açığına karşı uyardı. “Ghost pairing” (hayalet eşleştirme) olarak adlandırılan bu yöntemle saldırganların, herhangi bir şifreye, tek kullanımlık doğrulama koduna ya da SIM kart değişimine ihtiyaç duymadan kullanıcı hesaplarının kontrolünü ele geçirebildiği bildirildi.
'BAĞLI CİHAZLAR' ÖZELLİĞİ HEDEF ALINDI
Hindistan Ulusal Siber Acil Durum Müdahale Ajansı (CSAI) tarafından yapılan açıklamada, açığın WhatsApp’ın “bağlı cihazlar” (linked devices) özelliği üzerinden istismar edildiği belirtildi. Normal şartlarda bu özellik, kullanıcıların WhatsApp hesaplarını tarayıcıdan veya ek bir cihazdan kullanmasına olanak tanıyor. Ancak söz konusu güvenlik açığı sayesinde kötü niyetli kişiler, bu sistemi kendi lehlerine kullanabiliyor.
SALDIRI MASUM BİR MESAJLA BAŞLIYOR
Yetkililere göre saldırı süreci genellikle güvenilir görünen bir mesajla başlıyor. Mesaj, çoğu zaman tanıdık bir kişiden gelmiş izlenimi veriyor ve “Merhaba, şu fotoğrafa bakar mısın?” gibi ifadeler içeriyor. Mesajdaki bağlantıya tıklayan kullanıcı, sahte bir Facebook ya da içerik görüntüleme sayfasına yönlendiriliyor.
TELEFON NUMARASI GİRİLDİĞİNDE KONTROL ELE GEÇİYOR
Sahte sayfada, içeriği görüntülemek için kimlik doğrulama gerektiği belirtilerek kullanıcıdan telefon numarasını girmesi isteniyor. Bu aşamada kullanıcı farkında olmadan, saldırganın kendi cihazını WhatsApp hesabına bağlamasına izin vermiş oluyor. Eşleştirme tamamlandığında saldırgan, hesabı kendi cihazından aktif şekilde kullanabiliyor.
MESAJLARA VE REHBERE TAM ERİŞİM
Eşleştirme sonrasında saldırganların, kurbanın mesajlarına, fotoğraflarına, videolarına ve sesli notlarına gerçek zamanlı olarak erişebildiği bildirildi. Bununla birlikte, kullanıcının rehberindeki kişilere ve grup sohbetlerine mesaj gönderebildikleri de aktarıldı.
BİREYSEL KULLANICILAR İÇİN UYARILAR
Yetkililer, bireysel kullanıcıların şu önlemleri almasını önerdi:
Tanıdıklardan gelse bile şüpheli bağlantılara tıklanmaması
WhatsApp veya Facebook olduğunu iddia eden harici sitelere telefon numarası girilmemesi
WhatsApp ayarlarından bağlı cihazlar listesinin düzenli olarak kontrol edilmesi
Tanınmayan bir cihaz tespit edildiğinde derhal oturumun sonlandırılması
KURUMLARA YÖNELİK TAVSİYELER
CSAI açıklamasında, kurumlara da mesajlaşma uygulamalarını hedef alan saldırılara karşı personel farkındalık eğitimleri verilmesi, mobil cihaz yönetim politikalarının uygulanması ve oltalama (phishing) girişimlerinin yakından izlenmesi çağrısında bulunuldu.
