WhatsApp uruchomił usługę weryfikacji dwuskładnikowej dla swoich miliardów użytkowników w 2017 roku. Dzięki tej metodzie uwierzytelniania firma postawiła sobie za cel dodanie dodatkowego poziomu bezpieczeństwa do aplikacji do przesyłania wiadomości.
Innymi słowy, za każdym razem, gdy będziesz musiał skonfigurować WhatsApp na nowym telefonie, otrzymasz jednorazowe hasło do celów weryfikacji. Tak więc hasło jednorazowe wysłane na Twój zarejestrowany numer zapewnia, że inne osoby nie mogą w żaden sposób uzyskać dostępu do Twojego konta WhatsApp.
WhatsApp zawsze był krytykowany błędy i luki w zabezpieczeniach w swojej usłudze przesyłania wiadomości. Jak wynika z raportu WABetaInfo, ktoś znalazł nową lukę w wersjach WhatsApp na Androida i iOS. Użytkownik odkrył, że hasło uwierzytelniania dwuskładnikowego zostało zapisane w zwykłym pliku tekstowym.
Ponieważ plik jest zapisywany tylko w piaskownicy, nie jest dostępny dla innych aplikacji innych firm. Ponadto plik nie jest również przechowywany w zwykłych kopiach zapasowych WhatsApp.
Niedawno użytkownik odkrył, że WhatsApp przechowuje hasło 2FA w postaci zwykłego tekstu w pliku w swojej piaskownicy.
Będąc w piaskownicy, żadne inne aplikacje nie mogą odczytać tego pliku, ale istnieją przypadki (w szczególności drugi), które powinny wymusić zaszyfrowanie kodu 2FA. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 marca 2020 r
Oto jak WhatsApp przechowuje dwuskładnikowy kod uwierzytelniania w zwykłym pliku tekstowym. Widać, że pliki są przechowywane w prywatnym kontenerze.
https://twitter.com/pancakeufo/status/1241657160561504256
Luka występuje również na urządzeniach z systemem Android
Z drugiej strony plik tekstowy z kodem dostępu jest również widoczny na zrootowanych urządzeniach z Androidem. Oznacza to, że inne aplikacje z uprawnieniami roota mogą uzyskać dostęp do pliku, aby go odczytać.
To samo dzieje się w WhatsApp na Androida, kod 2FA jest zapisywany w postaci zwykłego tekstu w pliku, który nie jest dostępny z innych aplikacji, ale jest widoczny na zrootowanych urządzeniach z Androidem. Oznacza to, że jeśli Twoje urządzenie jest zrootowane, a inna aplikacja ma uprawnienia administratora, może odczytać kod. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 marca 2020 r
Użytkownik Androida opublikował zrzut ekranu wyjaśniający, że każdy może uzyskać dostęp do zaszyfrowanego pliku tekstowego.
Yikes. WhatsApp na Androida zapisuje je, ale do /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 marca 2020 r
Warto wspomnieć, że aplikacje innych firm lub intruzi nie mogą po prostu użyć kodu 2FA, aby uzyskać dostęp do konta WhatsApp. Potrzebny jest również sześciocyfrowy kod PIN wysłany na zarejestrowany numer telefonu. Dlatego użytkownicy nie powinni martwić się, że zostaną zhakowani.
Według WABetaInfo, biorąc pod uwagę fakt, że niektóre wersje iOS mogą mieć pewne luki w zabezpieczeniach, firma nie powinna pozostawiać niezaszyfrowanego pliku. W związku z tym WhatsApp powinien załatać exploita, aby aplikacja przechowała hasło w zaszyfrowanym tekście.
Tagi WhatsApp