WhatsApp mempunyai lubang keselamatan yang cukup berbahaya bagi pengguna. Dengan jurang ini, seseorang dapat menghentikan akaun WhatsApp anda secara kekal hanya dengan nombor telefon anda.
Jurang ini ditemui oleh penyelidik keselamatan Luis Márquez Carpintero dan Ernesto Canales Pereña. Walaupun dilindungi oleh pengesahan dua faktor (2FA), telefon bimbit anda masih boleh menjadi mangsa serangan ini dan pada masa ini tidak ada penyelesaian.
Jurang ini menggunakan dua vektor. Pertama, penyerang atau orang yang tidak bertanggungjawab akan memasang WhatsApp pada peranti baru dan memasukkan nombor anda untuk mengaktifkan akaun.
Mereka pasti tidak akan dapat menyelesaikan proses pengesahan kerana kod 2FA yang diminta akan dihantar ke nombor telefon anda. Selepas beberapa percubaan masuk yang gagal, proses log masuk di akaun WhatsApp anda akan dikunci selama 12 jam.
Anda mungkin masih boleh menggunakan WhatsApp seperti biasa. Tetapi jika, sebagai contoh, anda mempunyai masa untuk mematikan akaun WhatsApp anda di telefon bimbit dan mengesahkannya semula, anda tidak akan dapat memasukkan kod pengesahan kerana telah dikunci oleh WhatsApp.
Setelah proses log masuk dikunci, penyerang akan menghantar mesej kepada pasukan WhatsApp melalui alamat e-mel mereka yang meminta agar akaun yang didaftarkan dengan nombor anda dihapus kerana telah hilang atau dicuri.
WhatsApp kemudian mengesahkan permintaan ini dengan e-mel balasan, dan akan menangguhkan akaun tanpa memeriksa terlebih dahulu dengan anda. Penyerang kemudian dapat mengunci akaun WhatsApp anda secara kekal dengan mengulangi proses di atas sekali lagi.
Sekiranya mereka berjaya, anda akan diminta menunggu '-1 saat' dan harus meminta bantuan WhatsApp untuk memulihkan akaun anda yang terkunci secara kekal.
Celah ini sangat menjengkelkan, tetapi sekurang-kurangnya kaedah ini tidak dapat digunakan oleh penyerang untuk mengambil alih akaun, hanya menyekat akses kepada pengguna yang ingin log masuk. Mesej dan kenalan di WhatsApp tidak akan didedahkan, seperti yang dikutip dari Android Police, Rabu (14/4/2021).
Bagi Forbes, jurucakap WhatsApp menyatakan tidak akan mengatasi jurang ini. Sebaliknya, mereka menasihatkan pengguna untuk memberikan alamat e-mel dengan 2FA untuk membantu pasukan sokongan WhatsApp jika ini berlaku.
WhatsApp menegaskan bahawa penggunaan lubang keselamatan ini melanggar syarat perkhidmatan mereka. Tetapi ini pasti tidak akan menghentikan seseorang yang berniat jahat kerana mereka dapat melancarkan serangan tanpa nama dengan e-mel satu kali.