Dengan hanya menggunakan nombor telefon anda, penyerang jarak jauh dapat (dengan mudah) menyahaktifkan WhatsApp di telefon anda dan kemudian menyekat anda dari masuk semula ke aplikasi. Pengesahan dua faktor bahkan tidak akan dapat menghentikan serangan.
Ketika artikel ini ditulis dan dipos, masih belum ditemukan jalan penyelesaian kepada kerentanan ini.
Kaedah serangan ini ditemui oleh dua orang penyelidik keselamatan iaitu Luis Márquez Carpintero dan Ernesto Canales Pereña.
Isu yang baru dikesan tersebut menggunakan dua vektor berasingan. Penyerang memasang WhatsApp pada peranti baru dan memasukkan nombor anda untuk mengaktifkan perkhidmatan WhatsApp.
Mereka sudah pasti tidak dapat mengesahkan akaun di telefon baru, kerana sistem pengesahan dua faktor menghantar kod pengesahan ke telefon anda. Tetapi, apabila beberapa kali percubaan masuk diulang dan menemui kegagalan, log masuk anda akan dikunci selama 12 jam.
Dengan akaun anda terkunci, penyerang kemudian menghantar mesej sokongan ke WhatsApp dari alamat e-mel mereka, dengan mendakwa bahawa telefon mereka (iaitu telefon anda) telah hilang atau dicuri, dan akaun yang berhubungan dengan nombor anda perlu dinyahaktifkan.
WhatsApp ‘mengesahkan’ perkara ini melalui e-mel, dan menggantung akaun anda tanpa ragu kerana proses ini dijalankan secara automatik. Penyerang juga dapat mengulang proses ini beberapa kali berturut-turut untuk membuat penggantungan separa kekal pada akaun anda.
Sumber: Forbes
