A WhatsApp kétmilliós ellenőrző szolgáltatást indított több milliárd felhasználója számára még 2017-ben. Ezzel a hitelesítési módszerrel a vállalat további biztonsági szintet kívánt célozni az üzenetküldő alkalmazásban.
Más szóval, amikor be kell állítania a WhatsApp alkalmazást egy új telefonra, egyszeri jelszót fog kapni ellenőrzés céljából. Tehát az Ön regisztrált számán elküldött OTP biztosítja, hogy mások semmilyen módon ne férhessenek hozzá WhatsApp-fiókjához.
A WhatsApp-ot mindig is kritizálták hibákat és sebezhetőségeket üzenetküldő szolgáltatásában. A WABetaInfo jelentés szerint valaki új sebezhetőséget talált a WhatsApp Android és iOS verzióiban. A felhasználó felfedezte, hogy a kétfaktoros hitelesítési kódot egy egyszerű szöveges fájlban tárolták.
Mivel a fájlt csak a homokozóba menti, más harmadik féltől származó alkalmazások számára nem érhető el. Ráadásul a fájl szintén nincs tárolva a szokásos WhatsApp biztonsági mentésekben.
Egy felhasználó nemrég fedezte fel, hogy a WhatsApp a 2FA jelszót egyszerű szövegben, a homokozójában lévő fájlban tárolja.
A homokozóba kerülve egyetlen más alkalmazás sem tudja elolvasni ezt a fájlt, de vannak olyan esetek (különösen a második), amelyeknek a 2FA kód titkosítására kell kényszerülniük. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 2020. március 22
Így tárolja a WhatsApp a kéttényezős hitelesítési kódot egy egyszerű szöveges fájlban. Láthatja, hogy a fájlokat egy privát tárolóban tárolják.
https://twitter.com/pancakeufo/status/1241657160561504256
A biztonsági rés az Android-eszközökön is fennáll
Másrészt a kódot tartalmazó szövegfájl a rootolt Android-eszközökön is látható. Tehát ez azt jelenti, hogy más, gyökérengedéllyel rendelkező alkalmazások hozzáférhetnek a fájlhoz, hogy elolvassák.
Ugyanez történik a WhatsApp for Android esetében is, a 2FA kódot egyszerű szövegként menti a fájl, amely más alkalmazásokból nem elérhető, de a gyökérzetű Android-eszközökön látható. Ez azt jelenti, hogy ha az eszköz rootolt és egy másik alkalmazás rendelkezik root jogosultságokkal, akkor el tudja olvasni a kódot. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 2020. március 22
Egy Android-felhasználó közzétett egy képernyőképet, amelyben elmagyarázta, hogy bárki hozzáférhet a titkosított szöveges fájlhoz.
Yikes. Az Androidon található WhatsApp menti őket, de a /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml fájlba pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 2020. március 22
Érdemes megemlíteni, hogy harmadik féltől származó alkalmazások vagy behatolók nem egyszerűen használhatják a 2FA kódot a WhatsApp-fiók eléréséhez. Szüksége van egy hatjegyű PIN-kódra is, amelyet a regisztrált telefonszámra küldünk. Tehát a felhasználóknak nem kell aggódniuk a feltörés miatt.
A WABetaInfo szerint figyelembe véve azt a tényt, hogy egyes iOS verziók bizonyos biztonsági réseket okozhatnak, a vállalatnak nem szabad titkosítatlanul hagynia a fájlt. Így a WhatsApp-nak javítania kell a kihasználást, hogy az alkalmazás titkosított szövegben tárolja a jelszót.
Címkék WhatsApp