נתנאל ואני החלטנו לחקור את נושא אחזור סיסמאת וואטסאפ דרך התא הקולי והתוצאות היו מפתיעות ולרעה. לאחר הזנת מספר הטלפון בעת ההרשמה יש לבצע אימות, דרך הודעת טקסט או דרך שיחת טלפון. מה קורה אם לא עונים לשיחה (שיכולה להיות באמצע הלילה) וסיסמאת התא הקולי היא 1234?

שלב ראשון:
הורדת האפליקציה והזנת מספר טלפון להתחברות ראשונית. לאחר הזנת מספר הטלפון ישלח אל הקורבן קוד אימות כהודעת טקסט ולאחר מספר שניות ניתן לבחור באפשרות של תתקשרו אליי.
במידה והקורבן לא זמין, מערכת האימות של וואטסאפ תקליט הודעה קולית ובה קוד האימות של ההתחברות, ההודעה תישמר בתא הקולי.




שלב 2:
התחברות לתא קולי מרוחק, כיום לצערנו הרב אנשים לא מייחסים חשיבות אל התא הקולי ולכן לא משנים את הסיסמה הראשונית (0000, 1234) ואם כבר שינו את הסיסמה היא קלה לניחוש (1111, 4444, 1212, 7777, 5555 ועוד). ניתן להתחבר אל התא קולי באמצעות חיוג למספר אליו רוצים לגשת עם הקידומת 151 ולאחר מכן להסיר את הסיפרה 0, זאת אומרת: 151-54-1234567.
לאחר החיוג למספר המקוצר השיחה תעבור באופן אוטומטי לתא הקולי. (למרבה המזל! כל שיחה שמגיעה אל התא הקולי שלנו מתועדת אצל ספק הסלולר ולכן ניתן לקבל קצה חוט לחקירה שבסופה תובל אל התוקף).



שלב שלישי:
כעת, כשבידנו קוד האימות ניתן להזין אותו ולהתחבר אל החשבון.

לצערי הרב אנשים מזלזלים בנושא והם פשוט לא מבינים את פוטנציאל הנזק.

לגבי תמונות והודעות אין מה לדאוג, המידע נשמר על המכשיר עצמו וגיבוי הוואטסאפ נעשה על ידי הענן של גוגל (הוגדר בעת ההפעלה הראשונית) ולכן למי שאין גישה לחשבון הג'ימייל שלכם אין אפשרות לשחזר מגיבוי קיים ובכך אין באפשרותו של התוקף לגשת אל המידע והוא יצטרך להסתפק בגניבת זהות ומניעת גישה לחשבון בלבד.

מסקנות
מבחינתי אם יש ספק אין ספק קוד התא הקולי הוא קוד בין 4 ספרות ועם קצת הנדסה חברתית יהיה לי קל לנחש אותו. אם לא נשים 1234, סביר לוודאי שנשים 4 ספרות אחרונות של ת.ז, טלפון או יום הולדת (לרוב). גם לסיכון הקטן ביותר יש פוטנציאל נזק עצום ולכן כדאי לבטל. מה יקרה כשלטכנאי או איש שנותן שירות כזה או אחר יחסם הוואטסאפ.

תארו לכם איזה מסכן יהיה בן אדם שפרצו לו ושלחו לכל העולם הודעות בשמו, זאת גניבת זהות לכל דבר ועניין. הוא לא יכול להשתמש בוואטסאפ עם המספר שלו ודי קשה לפתוח את הנעילה.
אימות דו שלבי עם קוד PIN ששונה מהקוד שמתקבל בהודעת טקסט ולכן כל עוד לא יהיה את קוד הPIN לא נוכל לפתוח את הנעילה או לשחזר את החשבון.
אל תזלזלו, יש אנשים שנפגעו קשות גם בלי שהתמונות שלהם דלפו.

יש מקרים רבים של אנשים שיושבים בבית קפה ופתאום מגיע לקרוב משפחה ואפילו לאישה תמונה ממכון ליווי וכתוב: "אופס טעות בקבוצה" איך ניתן להסביר זאת?

אל תזלזלו! בואו נבלום את גל הפגיעות הבא!

כיצד להגן?
1. ביטול תא קולי לאלתר בחברות הסלולר.
2. שינוי סיסמאת תא קולי (בחלק מהחברות ניתן לעשות זאת דרך אתר האינטרנט).
3. הגדרת אימות דו שלבי.



Share To:

פאביו ליאור רחמים

Post A Comment: