„WhatsApp“
„WhatsApp“ savo milijardams vartotojų pradėjo naudoti dviejų veiksnių tikrinimo paslaugą dar 2017 m. Taikydama šį autentifikavimo metodą, įmonė siekė pranešimų programai suteikti papildomą saugumo lygį.
Kitaip tariant, kai tik reikės nustatyti „WhatsApp“ naujame telefone, patvirtinimo tikslais gausite vienkartinį slaptažodį. Taigi, jūsų registruotu numeriu atsiųsta OTP užtikrina, kad kiti niekaip negalėtų pasiekti jūsų „WhatsApp“ paskyros.
„WhatsApp“ visada buvo kritikuojama klaidų ir pažeidžiamumų pranešimų tarnyboje. Kaip nurodyta WABetaInfo ataskaitoje, kažkas rado naują pažeidžiamumą „WhatsApp“ „Android“ ir „iOS“ versijose. Vartotojas atrado, kad dviejų veiksnių autentifikavimo slaptažodis buvo saugomas paprasto teksto faile.
Kadangi failas išsaugomas tik smėlio dėžėje, jis nėra prieinamas kitoms trečiųjų šalių programoms. Be to, failas taip pat nėra saugomas įprastose „WhatsApp“ atsarginėse kopijose.
Vartotojas neseniai atrado, kad „WhatsApp“ saugo 2FA kodą paprastu tekstu savo smėlio dėžės faile.
Būdamos smėlio dėžėje, jokios kitos programos negali nuskaityti šio failo, tačiau yra keletas atvejų (ypač antrojo), kurie turėtų priversti užšifruoti 2FA kodą. https://t.co/nmrNSGkKSU
- WABetaInfo (@ WABetaInfo) 2020 m. Kovo 22 d
Štai kaip „WhatsApp“ dviejų faktorių autentifikavimo kodą laiko paprasto teksto faile. Galite pamatyti, kad failai saugomi privačiame konteineryje.
https://twitter.com/pancakeufo/status/1241657160561504256
Pažeidžiamumas taip pat egzistuoja „Android“ įrenginiuose
Kita vertus, kodo teksto failas taip pat matomas įsišaknijusiuose „Android“ įrenginiuose. Taigi, tai reiškia, kad kitos programos, turinčios root teises, gali pasiekti failą, kad jį skaitytų.
Tas pats vyksta „Android“ skirtoje „WhatsApp“, „2FA“ kodas yra išsaugotas paprastu tekstu faile, kurio negalima pasiekti iš kitų programų, tačiau jis yra matomas įsišaknijusiuose „Android“ įrenginiuose. Tai reiškia, kad jei jūsų įrenginys yra įsišaknijęs ir kita programa turi root teises, ji gali nuskaityti kodą. https://t.co/hTMCy6XoN7
- WABetaInfo (@ WABetaInfo) 2020 m. Kovo 22 d
„Android“ vartotojas paskelbė ekrano kopiją, kurioje paaiškino, kad kiekvienas gali pasiekti šifruotą teksto failą.
Yikes. „WhatsApp“, esanti „Android“, juos išsaugo, bet /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 2020 m. Kovo 22 d
Verta paminėti, kad trečiųjų šalių programos ar įsibrovėliai negali paprasčiausiai naudoti 2FA kodą, kad pasiektų jūsų „WhatsApp“ paskyrą. Taip pat reikalingas šešiaženklis PIN kodas, išsiųstas jūsų registruotu telefono numeriu. Taigi vartotojai neturėtų jaudintis dėl įsilaužimo.
Pasak WABetaInfo, atsižvelgiant į tai, kad kai kuriose „iOS“ versijose gali būti tam tikrų pažeidžiamumų, bendrovė neturėtų palikti failo nešifruoto. Taigi „WhatsApp“ turėtų pataisyti išnaudojimą, kad programa išsaugotų kodą šifruotame tekste.
Žymos „WhatsApp“