WhatsApp a lansat un serviciu de verificare cu doi factori pentru miliarde de utilizatori în 2017. Cu această metodă de autentificare, compania a urmărit să adauge un nivel suplimentar de securitate aplicației de mesagerie.
Cu alte cuvinte, ori de câte ori trebuie să configurați WhatsApp pe un telefon nou, veți primi o parolă unică în scopul verificării. Deci, OTP trimis pe numărul dvs. înregistrat asigură faptul că alții nu vă pot accesa contul WhatsApp în niciun fel.
WhatsApp a fost întotdeauna criticat pentru bug-uri și vulnerabilități în serviciul său de mesagerie. Conform raportului WABetaInfo, cineva a găsit o nouă vulnerabilitate în versiunile Android și iOS ale WhatsApp. Utilizatorul a descoperit că parola de autentificare cu doi factori a fost stocată într-un fișier text simplu.
Deoarece fișierul este salvat numai în sandbox, nu este accesibil altor aplicații terțe. Mai mult, fișierul nu este, de asemenea, stocat în copiile de rezervă obișnuite WhatsApp.
Un utilizator a descoperit recent că WhatsApp stochează codul de acces 2FA în text simplu într-un fișier din sandbox-ul său.
Fiind în sandbox, nicio altă aplicație nu poate citi fișierul respectiv, dar există unele cazuri (în special cel de-al doilea) care ar trebui să forțeze criptarea Codului 2FA. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 martie 2020
Iată cum WhatsApp păstrează codul de autentificare cu doi factori într-un fișier text simplu. Puteți vedea că fișierele sunt stocate într-un container privat.
https://twitter.com/pancakeufo/status/1241657160561504256
Vulnerabilitatea există și pe dispozitivele Android
Pe de altă parte, fișierul text cu parolă este vizibil și pe dispozitivele Android înrădăcinate. Deci, înseamnă că alte aplicații cu permisiuni root pot accesa fișierul pentru ao citi.
La fel se întâmplă și pe WhatsApp pentru Android, codul 2FA este salvat în text simplu într-un fișier care nu este accesibil din alte aplicații, dar este vizibil pe dispozitivele Android înrădăcinate. Aceasta înseamnă că, dacă dispozitivul dvs. este înrădăcinat și o altă aplicație are permisiuni de root, poate citi codul. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 martie 2020
Un utilizator Android a postat o captură de ecran explicând că oricine poate accesa fișierul text criptat.
Yikes. WhatsApp pe Android le salvează, dar în /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 martie 2020
Merită menționat faptul că aplicațiile terțe sau intruții nu pot folosi pur și simplu codul 2FA pentru a accesa contul dvs. WhatsApp. De asemenea, este necesar un cod PIN din șase cifre care este trimis la numărul dvs. de telefon înregistrat. Deci, utilizatorii nu ar trebui să se îngrijoreze de a fi hacked.
Potrivit WABetaInfo, având în vedere faptul că unele versiuni iOS pot avea anumite vulnerabilități, compania nu ar trebui să lase fișierul necriptat. Astfel, WhatsApp ar trebui să corecte exploit-ul astfel încât aplicația să stocheze codul de acces într-un text criptat.
Etichete WhatsApp