WhatsApp запустила сервис двухфакторной проверки для миллиардов пользователей еще в 2017 году. С помощью этого метода аутентификации компания стремилась повысить уровень безопасности приложения для обмена сообщениями.
Другими словами, всякий раз, когда вам нужно настроить WhatsApp на новом телефоне, вы получите одноразовый пароль для проверки. Таким образом, OTP, отправленный на ваш зарегистрированный номер, гарантирует, что другие не смогут получить доступ к вашей учетной записи WhatsApp каким-либо образом.
WhatsApp всегда критиковали за ошибки и уязвимости в своей службе обмена сообщениями. Согласно отчету WABetaInfo, кто-то обнаружил новую уязвимость в версиях WhatsApp для Android и iOS. Пользователь обнаружил, что код доступа для двухфакторной аутентификации хранится в текстовом файле.
Поскольку файл сохраняется только в песочнице, он недоступен для других сторонних приложений. Более того, файл также не сохраняется в обычных резервных копиях WhatsApp.
Пользователь недавно обнаружил, что WhatsApp хранит код доступа 2FA в виде обычного текста в файле в своей песочнице.
Находясь в песочнице, никакие другие приложения не могут прочитать этот файл, но есть некоторые случаи (в частности, второй), которые должны заставить зашифровать код 2FA. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 марта 2020 г.
Вот как WhatsApp сохраняет код доступа для двухфакторной аутентификации в текстовом файле. Вы можете видеть, что файлы хранятся в частном контейнере.
https://twitter.com/pancakeufo/status/1241657160561504256
Уязвимость также существует на устройствах Android
С другой стороны, текстовый файл с паролем также виден на устройствах Android с root-доступом. Таким образом, это означает, что другие приложения с правами root могут получить доступ к файлу для его чтения.
То же самое происходит в WhatsApp для Android: код 2FA сохраняется в виде обычного текста в файле, который недоступен из других приложений, но виден на устройствах Android с root-доступом. Это означает, что если ваше устройство имеет root-права и другое приложение имеет права root-доступа, оно может читать код. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 марта 2020 г.
Пользователь Android опубликовал снимок экрана, объясняющий, что любой может получить доступ к зашифрованному текстовому файлу.
Ой. WhatsApp на Android сохраняет их, но в /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 марта 2020 г.
Стоит отметить, что сторонние приложения или злоумышленники не могут просто использовать код 2FA для доступа к вашей учетной записи WhatsApp. Также необходим шестизначный PIN-код, который будет отправлен на ваш зарегистрированный номер телефона. Таким образом, пользователи не должны беспокоиться о взломе.
Согласно WABetaInfo, учитывая тот факт, что некоторые версии iOS могут иметь определенные уязвимости, компании не следует оставлять файл незашифрованным. Таким образом, WhatsApp должен исправить эксплойт, чтобы приложение сохраняло код доступа в зашифрованном тексте.
Теги WhatsApp