Lỗ Hổng Nghiêm Trọng Trong Hệ Thống Xác Minh Người Dùng Của WhatsApp

Lỗ Hổng Nghiêm Trọng Trong Hệ Thống Xác Minh Người Dùng Của WhatsApp

Posted on

WhatsApp, một trong những nền tảng nhắn tin phổ biến nhất hiện nay, đã đặt người dùng vào tình trạng nguy hiểm với nhiều vấn đề gần đây, bao gồm cả việc cập nhật chính sách quyền riêng tư và các trò gian lận nguy hiểm. Mới đây, một lỗ hổng chết người hơn đã được phát hiện, sử dụng hệ thống xác minh của WhatsApp để cho phép tin tặc vô hiệu hóa tài khoản người dùng vĩnh viễn.

Contents

Lỗ Hổng Trong Hệ Thống Xác Minh Người Dùng Của WhatsApp

Lỗ hổng này được các nhà nghiên cứu bảo mật Luis Marquez Carpintero và Ernesto Canales Perena phát hiện và được Forbes tiết lộ. Hack này có thể gây tử vong cho người dùng WhatsApp vì nó liên quan đến một quy trình đơn giản nhưng tẻ nhạt. Hơn nữa, bất kỳ ai có số điện thoại của bạn đều có thể thực hiện quá trình này từ xa. Điều nguy hiểm hơn là ngay cả xác thực hai yếu tố (2FA) cũng không thể cứu tài khoản của bạn khỏi bị vô hiệu hóa.

Quy Trình Hoạt Động Như Thế Nào?

Hack vô hiệu hóa tài khoản từ xa này sử dụng các điểm yếu trong hai phần kiến trúc xác minh ID của WhatsApp. Phần đầu tiên liên quan đến quy trình đăng nhập qua mã OTP của nền tảng và phần thứ hai nằm trong bộ đếm thời gian mà nền tảng tự động thiết lập sau nhiều lần đăng nhập thất bại.

Trong quá trình này, kẻ tấn công biết số điện thoại của bạn có thể bắt đầu bằng cách đặt số của bạn lên màn hình đăng nhập của WhatsApp. Bạn cần lưu ý rằng trong khi kẻ tấn công thực hiện các hành động ban đầu, bạn chỉ bị ảnh hưởng một phần và vẫn có thể sử dụng nền tảng như bình thường. Tuy nhiên, bạn sẽ nhận được nhiều mã đăng nhập qua SMS khi kẻ tấn công đang nhập các mã ngẫu nhiên vào quá trình đăng nhập để khởi động giai đoạn thứ hai của quá trình.

Read more: iOS 13 Nâng Cấp Trình Chỉnh Sửa Ảnh Mạnh Mẽ Hơn

Trong giai đoạn thứ hai, sau nhiều lần đăng nhập thất bại từ số của bạn, WhatsApp sẽ thiết lập một bộ đếm thời gian 12 giờ, hạn chế hệ thống tạo bất kỳ mã đăng nhập mới nào trong thời gian quy định. Lúc này, kẻ tấn công có thể sử dụng một địa chỉ email giả để gửi yêu cầu vô hiệu hóa tài khoản đến [email protected] để vô hiệu hóa tài khoản của bạn. Vì vậy, tại thời điểm này, WhatsApp đã thấy nhiều lần đăng nhập thất bại trên tài khoản của bạn và nhận được yêu cầu vô hiệu hóa tài khoản liên kết với số điện thoại của bạn.

Hình ảnh hack WhatsApp cho phép kẻ tấn công vô hiệu hóa tài khoản người dùngHình ảnh hack WhatsApp cho phép kẻ tấn công vô hiệu hóa tài khoản người dùng

Kết quả là, sau khoảng một giờ, bạn sẽ tự động bị đá ra khỏi tài khoản và nhận được email vô hiệu hóa tài khoản từ WhatsApp. Điều thú vị là khi bạn cố gắng đăng ký lại tài khoản, bạn sẽ cần nhập mã OTP được gửi bởi WhatsApp. Tuy nhiên, điều này không thể thực hiện được ngay lúc này vì có bộ đếm thời gian 12 giờ hạn chế nền tảng tạo mã đăng nhập mới cho tài khoản của bạn. Và bộ đếm thời gian này giống nhau cho bạn và kẻ tấn công đã tạo ra tình huống này.

Read more: Gitamini: Cái Túi Xách Thông Minh Có Thể Tự Động Theo Bạn Trong Đám Đông

Hình ảnh hack WhatsApp cho phép kẻ tấn công vô hiệu hóa tài khoản người dùngHình ảnh hack WhatsApp cho phép kẻ tấn công vô hiệu hóa tài khoản người dùng

Vì vậy, bạn có thể thử đăng ký lại tài khoản sau khi thời gian hết hạn. Tuy nhiên, nếu kẻ tấn công lặp lại thủ thuật này trước khi bạn kịp đăng ký lại, quá trình có thể tiếp tục lặp đi lặp lại.

Hệ Thống Sụp Đổ

Giờ đây, đến phần điểm yếu thứ hai trong kiến trúc cốt lõi của WhatsApp. Hệ thống bảo mật tự động, sau một số lần lặp lại quá trình, đơn giản là sụp đổ. Do đó, nếu kẻ tấn công đẩy tài khoản của bạn đến giai đoạn này bằng cách lặp lại quy trình đăng nhập thất bại nhiều lần, tại một thời điểm, thay vì bộ đếm thời gian 12 giờ để tạo mã mới, hệ thống sẽ hiển thị bộ đếm thời gian -1 giây cho cùng một mục đích. Điều này có nghĩa là hệ thống xác minh tự động đã đạt đến giới hạn và sụp đổ.

Read more: Vivo T1 Pro và Vivo T1 44W: Thông Số Kỹ Thuật và Tính Năng Nổi Bật

Hình ảnh hack WhatsApp cho phép kẻ tấn công vô hiệu hóa tài khoản người dùngHình ảnh hack WhatsApp cho phép kẻ tấn công vô hiệu hóa tài khoản người dùng

Vì vậy, bạn sẽ không thể tạo mã đăng nhập mới cho số điện thoại của mình trong một thời gian dài, nhờ vào hệ thống bị hỏng. Kết quả là, tài khoản của bạn sẽ vẫn bị vô hiệu hóa trong 30 ngày tiếp theo, sau đó WhatsApp sẽ tự động xóa tài khoản của bạn khỏi cơ sở dữ liệu của mình vĩnh viễn.

Đây thực sự là một quy trình tẻ nhạt nhưng rất đơn giản. Bất kỳ ai có điện thoại thông minh đều có thể lợi dụng các lỗ hổng bảo mật tự động này trong WhatsApp để vô hiệu hóa tài khoản người dùng từ xa.

Read more: Infinix Note 5: Smartphone Android One Đầu Tiên của Infinix Ra Mắt Tại Ấn Độ

Có Thể Khắc Phục Được Không?

Các nhà nghiên cứu bảo mật, sau khi phát hiện ra các lỗ hổng này, cho biết vấn đề có thể dễ dàng khắc phục bằng cách hỗ trợ đa thiết bị mà WhatsApp đã đang làm việc từ lâu. Với hỗ trợ đa thiết bị, nền tảng có thể sử dụng hệ thống thiết bị đáng tin cậy tương tự như Apple để xác minh các thiết bị mà người dùng sử dụng để truy cập tài khoản của họ.

Tuy nhiên, hiện tại, không có cách nào để khắc phục quy trình này. Vì vậy, nếu bạn bắt đầu nhận được các mã đăng nhập ngẫu nhiên từ WhatsApp trong những ngày tới, bạn sẽ biết rằng ai đó đang cố gắng vô hiệu hóa tài khoản của bạn. Bạn có thể liên hệ với đội ngũ hỗ trợ của WhatsApp để thông báo tình hình trước để giữ an toàn cho tài khoản của mình. Ngoài ra, hãy chia sẻ thông tin này với bạn bè và gia đình để họ biết về hack WhatsApp nguy hiểm này.

Câu Hỏi Thường Gặp (FAQ)

  1. WhatsApp có an toàn để sử dụng không?
    WhatsApp vẫn là một nền tảng nhắn tin an toàn, nhưng người dùng cần cảnh giác với các lỗ hổng bảo mật và cập nhật thông tin thường xuyên.

  2. Làm thế nào để bảo vệ tài khoản WhatsApp của tôi?
    Bạn có thể bảo vệ tài khoản bằng cách bật xác thực hai yếu tố và liên hệ với đội ngũ hỗ trợ của WhatsApp nếu nhận thấy hoạt động đáng ngờ.

  3. Làm gì nếu tôi nhận được nhiều mã đăng nhập từ WhatsApp?
    Nếu bạn nhận được nhiều mã đăng nhập, hãy liên hệ ngay với đội ngũ hỗ trợ của WhatsApp để báo cáo vấn đề và bảo vệ tài khoản của mình.

  4. Có cách nào để khôi phục tài khoản WhatsApp đã bị vô hiệu hóa không?
    Nếu tài khoản của bạn bị vô hiệu hóa, bạn cần liên hệ với đội ngũ hỗ trợ của WhatsApp để yêu cầu khôi phục. Tuy nhiên, quá trình này có thể phức tạp và không đảm bảo thành công.

  5. WhatsApp đang làm gì để khắc phục lỗ hổng này?
    WhatsApp đang làm việc để cải thiện hệ thống bảo mật của mình, bao gồm cả việc triển khai hỗ trợ đa thiết bị để tăng cường an toàn cho người dùng.

  6. Tôi có nên chuyển sang sử dụng ứng dụng nhắn tin khác không?
    Việc chuyển sang ứng dụng khác phụ thuộc vào nhu cầu cá nhân của bạn. Tuy nhiên, hãy chọn ứng dụng có uy tín và bảo mật cao.

  7. Làm thế nào để biết nếu tài khoản của tôi đang bị tấn công?
    Bạn có thể nhận biết qua các dấu hiệu như nhận được nhiều mã đăng nhập, tài khoản bị vô hiệu hóa đột ngột hoặc nhận được thông báo về hoạt động đăng nhập từ thiết bị lạ.

Read more: OpenAI Có Thể Sắp Ra Mắt Gói Dịch Vụ Trả Phí Cho ChatGPT!
  • Forbes. (2021). Shock New Warning For Millions Of WhatsApp Users On Apple iPhone And Google Android Phones. Link
  • Beebom. (2021). WhatsApp Crosses 2 Billion Users. Link
  • Beebom. (2021). What Happens To WhatsApp Users Who Don’t Accept New Privacy Policy?. Link
  • Beebom. (2021). Beware New WhatsApp Scam Hacks User Accounts By Posing As Contacts. Link
  • Beebom. (2021). WhatsApp Multi-Device Support Beta Test. Link
  • Beebom. (2021). WhatsApp Device Support Beta Users Android. Link

Kết Luận

Lỗ hổng trong hệ thống xác minh người dùng của WhatsApp là một mối đe dọa nghiêm trọng đối với người dùng. Việc hiểu rõ cách thức hoạt động của hack này và các biện pháp bảo vệ có thể giúp bạn giữ an toàn cho tài khoản của mình. Hãy luôn cập nhật thông tin và liên hệ với Afropolitan Group nếu bạn cần hỗ trợ thêm về bảo mật công nghệ và game.