வாட்ஸ்அப்பில் ஒரு புதிய பாதுகாப்பு ஓட்டை கண்டறியப்பட்டுள்ளது. அது என்ன ஓட்டை, இது யாரையெல்லாம் பாதிக்கும், இதனால் என்னென்ன சிக்கல்கள் வரும், இதிலிருந்து தப்பிக்க என்ன வழி, இதோ முழு விவரங்கள்.
ஹேக்கர்களுக்கு, வாட்ஸ்அப் பயனர்களின் முக்கியமான தகவல்களை அணுக அனுமதிக்கும் புதிய வாட்ஸ்அப் “பாதிப்பு” (vulnerability) உட்பட பல பாதுகாப்பு ஓட்டைகள் (சிக்கல்கள்) கண்டறியப்பட்டுள்ளது.
கண்டுபிடித்தது யார்?
வாட்ஸ்அப்பில் உள்ள இந்த பாதுகாப்பு சிக்கல்களை இந்தியாவின் சைபர் ஏஜென்சி ஆன CERT-IN கண்டறிந்து, அறிக்கை வெளியிட்டு பயனர்களை எச்சரித்துள்ளது.
இவ்ளோ நாள் லேப்டாப்-ல WhatsApp யூஸ் பண்றோம்; ஆனா இது தெரியாம போச்சே!
எந்தெந்த வெர்ஷன்களில் சிக்கல்?
V2.21.4.18 வெர்ஷனுக்கு முன்னதாக வெளியான Android க்கான வாட்ஸ்அப் மற்றும் வாட்ஸ்அப் பிசினஸ் ஆப் மற்றும் v2.21.32 வெர்ஷனுக்கு முன்னதாக வெளியான iOS க்கான வாட்ஸ்அப் மற்றும் வாட்ஸ்அப் பிசினஸ் ஆப் ஆகியவைகளில் மென்பொருளில் vulnerability கண்டறியப்பட்டதாக CERT-in அறிக்கை கூறுகிறது.
இதனால் வரும் ஆபத்துகள் என்னென்ன?
வெளியான அறிக்கையானது, “வாட்ஸ்அப்பில் பல “பாதிப்புகள்” (பாதுகாப்பு ஓட்டைகள்) பதிவாகியுள்ளன, அவைகள் ரிமோட் அட்டாக்கர்களுக்கு Arbitrary code-களை இயக்க அல்லது டார்கெட் செய்யப்பட்ட சிஸ்டமில் முக்கியமான தகவல்களை அணுக (அதாவது திருட) அனுமதிக்கிறது. இந்த இணைய வழி தாக்குதலை அவர்கள் வெற்றிகரமாக செய்து முடிக்கும் போது அவர்களுக்கு முக்கியமான தகவல்கள் அணுக கிடைக்கலாம்” என்று குறிப்பிடப்பட்டுள்ளது.
இந்த பாதுகாப்பு ஓட்டைக்கு வழி விட்டது எது?
கேச் உள்ளமைவு சிக்கல் (cache configuration issue) மற்றும் ஆடியோ டிகோடிங் பைப்லைனுக்குள் Bound Checks இல்லாததால் தான் வாட்ஸ்அப்பில் இதுபோன்ற “பாதிப்புகள்” இருப்பதாகவும் அறிக்கை சுட்டிக்காட்டுகிறது.
இதிலிருந்து தப்பிக்க என்ன செய்ய வேண்டும்?
இந்த புதிய வாட்ஸஅப் பாதுகாப்பு சிக்கலில் இருந்து தப்பிக்க பயனர்கள், உடனே கூகுள் பிளே ஸ்டோர் மற்றும் ஆப்பிள் ஆப் ஸ்டோரிலிருந்து ஆப்பின் லேட்டஸ்ட் வெர்ஷனுக்கு அப்டேட் ஆகுமாறும் இந்த சைபர் ஏஜென்சி பரிந்துரைக்கிறது.
சி.இ.ஆர்.டி-இன் கண்டுபிடித்த சமீபத்திய பாதுகாப்பு குறைபாடு குறித்து வாட்ஸ்அப் இன்னும் கருத்து தெரிவிக்கவில்லை என்பதும் இங்கே குறிப்பிடத்தக்கது.
இதுபோன்ற வாட்ஸ்அப் பஞ்சாயத்துக்கள் ஒன்றும் புதிதல்ல!
முன்னதாக (இன்னும் சரியான சொல்லப்போனால் கடந்த வாரம்) வாட்ஸ்அப்பில் ஒரு புதிய பாதுகாப்பு குறைபாடு கண்டுபிடிக்கப்பட்டது. அந்த குறைபாடு வழியாக உங்களுக்கே தெரியாமல் உங்கள் வாட்ஸ்அப் அக்கவுண்ட்டில் இருந்து உங்களையே நீக்ககூடிய திறனை, மற்றவர்களுக்கு கொடுக்கிறது.
இதை செய்ய ஒரு தனிப்பட்ட நபருக்குத் தேவையானது உங்கள் மொபைல் நம்பர் மற்றும் “ஸீரோ” ஹேக்கிங் திறன், அதாவது அவர் ஒரு பெரிய ஹேக்கராக இருக்க வேண்டிய அவசியம் இல்லை என்பது தான் இந்த சிக்கலில் இருக்கும் பிரதான பிரச்சனை,
பெர்சனல் டேட்டாவிற்கு சிக்கல் இருக்காது; ஆனால்!
நிச்சயமாக, உங்கள் வாட்ஸ்அப் அக்கவுண்ட்டை விட்டு உங்களை நீக்குவதன் மூலம், ஒரு அட்டாக்கரால் உங்கள் தனிப்பட்ட தரவை அணுக முடியாது. ஆனால் உங்கள் வாட்ஸ்அப் அக்கவுண்ட்டை நீங்கள் நிரந்தரமாக இழக்க நேரிடலாம் மற்றும் தொடர்ந்து வாட்ஸ்அப்பைப் பயன்படுத்த புதிய அக்கவுண்ட்டைத் திறக்க வேண்டியிருக்கலாம்.
இதெப்படி சாத்தியமாகிறது?
ஃபோர்ப்ஸ் அறிக்கையின்படி, பாதுகாப்பு ஆராய்ச்சியாளர்கள் லூயிஸ் மார்க்வெஸ் கார்பின்டெரோ மற்றும் எர்னஸ்டோ கேனெல்ஸ், ஒரு வாட்ஸ்அப் பயனர் பல முறை தவறான two-factor-authentication (2FA) குறியீடுகளை உள்ளிட, குறிப்பிட்ட அக்கவுண்ட் மிகவும் எளிதாக லாக் அவுட் ஆகிறது என்பதைக் கண்டறிந்துள்ளனர்.
இதை ஹேக்கர்கள் அவர்கள் பாணியில் எப்படி செய்வார்கள் என்றால்..?
பல தவறான குறியீடுகளை உள்ளிட்ட பிறகு, வாட்ஸ்அப் தானாகவே அக்கவுண்ட்டை 12 மணி நேரம் லாக் செய்கிறது. அதன் பிறகு அட்டாக்கர்கள் குறிப்பிட்ட வாட்ஸ்அப் அக்கவுண்ட்டிற்கு ஒரு புதிய மின்னஞ்சல் முகவரியைப் பதிவுசெய்து, வாட்ஸ்அப்பின் ஆதரவுக் குழுவுக்கு “இந்த வாட்ஸ்அப் அக்கவுண்ட்டிற்கான மொபைல் நம்பர் தொலைந்து விட்டது அல்லது திருடப்பட்டு விட்டது” என்கிற காரணத்தை சொல்லி குறிப்பிட்ட வாட்ஸ்அப் அக்கவுண்ட்டை டெலிட் செய்யுமாறு கோருகிறார்கள்.
“வாட்ஸ்அப்பின் ஆதரவு குழுவோ, எந்த சரிபார்ப்பும் இல்லாமல் வெறுமனே குறிப்பிட்ட வாட்ஸ்அப் அக்கவுண்ட்டை நீக்குகிறது” என்றும் வெளியான ஃபோர்ப்ஸ் அறிக்கை கூறுகிறது.
இது எந்த அளவிற்கு சாத்தியம்?
இது கேட்பதற்கு பயமாக இருந்தாலும், இதுபோன்ற “தாக்குதலை” நிஜ வாழ்க்கையில் அவ்வளவு எளிதாக நடத்தி விட முடியாது. பொதுவாக 2FA குறியீட்டைக் கேட்பதற்கு முன்பு எஸ்எம்எஸ் மூலம் ஓடிபி சரிபார்ப்பை வாட்ஸ்அப் கோரும்.
இதன் பொருள், அட்டாக்கர் முதலில் OTP ஐப் பெற உங்கள் ஸ்மார்ட்போனை அணுக வேண்டும் அல்லது உங்கள் ஸ்மார்ட்போனில் இருந்து OTP ஐத் திருட வேறு வழிகளைக் கண்டறிய வேண்டும்.
இதன் பொருள் என்னவென்றால், இந்த தாக்குதல் உண்மையில் சாத்தியமாக, குறிப்பிட்ட நபர் உங்கள் ஸ்மார்ட்போனை வாங்கி பயன்படுத்தும் அளவிற்க்கு நெருக்கமானவராக இருக்க வேண்டும் அல்லது, உங்கள் ஸ்மார்ட்போனில் இருந்து OTP ஐத் திருட தொலைநிலை டெஸ்க்டாப் ஆப்பை பயன்படுத்தக்கூடிய ரிமோட் அட்டாக்கராக இருக்க வேண்டும்.
இருந்தாலும் பயனர்கள் உஷாராக இருப்பது நல்லது!
ரிமோட் அட்டாக்கர் இதை செய்வதற்கான வாய்ப்புகள் குறைவு, ஏனெனில் உங்கள் அக்கவுண்ட்டை வெறுமனே டெலிட் செய்வதால் அவர்களுக்கு எந்த லாபமும் இருக்காது. இருந்தாலும் பயனர்கள், இந்த வாட்ஸ்அப் “ஓட்டையில்” விழுந்து விடாமல் இருக்க சற்றே உஷாராக இருக்கும்படி கேட்டுக்கொள்கிறோம்.