WhatsApp стартира двуфакторна услуга за проверка на своите милиарди потребители още през 2017 г. С този метод за удостоверяване компанията се стреми да добави допълнително ниво на сигурност към приложението за съобщения.
С други думи, винаги, когато трябва да настроите WhatsApp на нов телефон, ще получите еднократна парола за целите на проверката. Така че OTP, изпратен на регистрирания ви номер, гарантира, че другите не могат да получат достъп до вашия акаунт в WhatsApp по никакъв начин.
WhatsApp винаги е бил критикуван бъгове и уязвимости в своята услуга за съобщения. Според доклада на WABetaInfo някой намери нова уязвимост във версиите на WhatsApp за Android и iOS. Потребителят откри, че двуфакторната парола за удостоверяване се съхранява в обикновен текстов файл.
Тъй като файлът се записва само в пясъчника, той не е достъпен за други приложения на трети страни. Освен това файлът също не се съхранява в редовните резервни копия на WhatsApp.
Потребител наскоро откри, че WhatsApp съхранява паролата 2FA в обикновен текст във файл в своята пясъчник.
Намирайки се в пясъчника, никое друго приложение не може да чете този файл, но има някои случаи (по-специално вторият), които трябва да принудят да кодират 2FA кода. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 март 2020 г.
Ето как WhatsApp запазва двуфакторната парола за удостоверяване в обикновен текстов файл. Можете да видите, че файловете се съхраняват в частен контейнер.
https://twitter.com/pancakeufo/status/1241657160561504256
Уязвимостта съществува и на устройства с Android
От друга страна, текстовият файл с парола се вижда и на вкоренени устройства с Android. Така че, това означава, че други приложения с root права имат достъп до файла, за да го прочетат.
Същото се случва и в WhatsApp за Android, 2FA кодът се записва в обикновен текст във файл, който не е достъпен от други приложения, но е видим на вкоренени устройства с Android. Това означава, че ако устройството ви е вкоренено и друго приложение има root права, то може да прочете кода. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 март 2020 г.
Потребител на Android публикува екранна снимка, обясняваща, че всеки може да има достъп до криптирания текстов файл.
Yikes. WhatsApp на Android ги запазва, но в /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 март 2020 г.
Струва си да се спомене, че приложения на трети страни или натрапници не могат просто да използват 2FA кода за достъп до вашия акаунт в WhatsApp. Необходим е и шестцифрен ПИН код, който се изпраща на вашия регистриран телефонен номер. Така че потребителите не трябва да се притесняват дали ще бъдат хакнати.
Според WABetaInfo, предвид факта, че някои версии на iOS могат да имат определени уязвимости, компанията не трябва да оставя файла нешифрован. По този начин WhatsApp трябва да закърпи експлоата, така че приложението да съхранява паролата в криптиран текст.
Етикети WhatsApp