WhatsApp saviem miljardiem lietotāju 2017. gadā uzsāka divu faktoru verifikācijas pakalpojumu. Ar šo autentifikācijas metodi uzņēmuma mērķis bija ziņojumapmaiņas lietojumprogrammai pievienot papildu drošības līmeni.
Citiem vārdiem sakot, ikreiz, kad jums būs jāiestata WhatsApp jaunā tālrunī, verifikācijas nolūkos jūs saņemsit vienreizēju paroli. Tātad OTP, kas nosūtīts uz jūsu reģistrēto numuru, nodrošina, ka citi nekādā veidā nevar piekļūt jūsu WhatsApp kontam.
Par WhatsApp vienmēr ir kritizēts kļūdas un ievainojamība ziņojumapmaiņas pakalpojumā. Saskaņā ar WABetaInfo ziņojumu kāds atrada jaunu ievainojamību WhatsApp Android un iOS versijās. Lietotājs atklāja, ka divu faktoru autentifikācijas piekļuves kods tika glabāts vienkārša teksta failā.
Tā kā fails tiek saglabāts tikai smilšu kastē, tas nav pieejams citām trešo pušu lietojumprogrammām. Turklāt fails netiek glabāts arī parastajās WhatsApp dublējumkopijās.
Lietotājs nesen atklāja, ka WhatsApp glabā 2FA piekļuves kodu vienkāršā tekstā failā, kas atrodas viņu smilškastē.
Atrodoties smilškastē, neviena cita lietotne nevar lasīt šo failu, taču ir daži gadījumi (īpaši otrais), kuriem jāpiespiež šifrēt 2FA kodu. https://t.co/nmrNSGkKSU
- WABetaInfo (@ WABetaInfo) 2020. gada 22. marts
Lūk, kā WhatsApp saglabā divu faktoru autentifikācijas piekļuves kodu vienkārša teksta failā. Var redzēt, ka faili tiek glabāti privātā konteinerā.
https://twitter.com/pancakeufo/status/1241657160561504256
Neaizsargātība pastāv arī Android ierīcēs
No otras puses, piekļuves koda teksta fails ir redzams arī sakņotajās Android ierīcēs. Tātad tas nozīmē, ka citas lietotnes ar root tiesībām var piekļūt failam, lai to lasītu.
Tas pats notiek WhatsApp for Android, 2FA kods tiek saglabāts vienkāršā tekstā failā, kuram nav piekļuves no citām lietotnēm, bet tas ir redzams sakņotajās Android ierīcēs. Tas nozīmē, ka, ja jūsu ierīce ir sakņota un citai lietotnei ir root atļaujas, tā var lasīt kodu. https://t.co/hTMCy6XoN7
- WABetaInfo (@ WABetaInfo) 2020. gada 22. marts
Android lietotājs ievietoja ekrānuzņēmumu, kurā paskaidrots, ka ikviens var piekļūt šifrētajam teksta failam.
Yikes. WhatsApp Android ierīcē tos saglabā, bet /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 2020. gada 22. marts
Ir vērts pieminēt, ka trešo pušu lietojumprogrammas vai iebrucēji nevar vienkārši izmantot 2FA kodu, lai piekļūtu jūsu WhatsApp kontam. Nepieciešams arī sešu ciparu PIN kods, kas tiek nosūtīts uz jūsu reģistrēto tālruņa numuru. Tātad lietotājiem nevajadzētu uztraukties par uzlaušanu.
Saskaņā ar WABetaInfo teikto, ņemot vērā faktu, ka dažām iOS versijām var būt noteiktas ievainojamības, uzņēmumam nevajadzētu atstāt failu nešifrētu. Tādējādi WhatsApp vajadzētu aizlāpīt izmantojumu, lai lietotne piekļuves kodu glabātu šifrētā tekstā.
Tagi WhatsApp