Što ima
WhatsApp je lansirao uslugu provjere od dva faktora za svoje milijarde korisnika još 2017. Ovom metodom provjere autentičnosti tvrtka je imala za cilj dodati dodatnu razinu sigurnosti aplikaciji za razmjenu poruka.
Drugim riječima, kad god trebate postaviti WhatsApp na novi telefon, dobit ćete jednokratnu lozinku u svrhu provjere. Dakle, OTP poslan na vaš registrirani broj osigurava da drugi ne mogu pristupiti vašem WhatsApp računu na bilo koji način.
WhatsApp se uvijek kritizirao bugova i ranjivosti u svojoj usluzi za razmjenu poruka. Prema izvještaju WABetaInfo, netko pronašao novu ranjivost u Android i iOS verziji WhatsAppa. Korisnik je otkrio da je dvofaktorska lozinka za autentifikaciju pohranjena u običnoj tekstualnoj datoteci.
Budući da je datoteka spremljena samo u zaštićenom okruženju, nije dostupna drugim programima trećih strana. Štoviše, datoteka se također ne pohranjuje u redovite sigurnosne kopije WhatsApp.
Korisnik je nedavno otkrio da WhatsApp šifru 2FA pohranjuje u običnom tekstu u datoteku u svom pješčaniku.
Budući da su u zaštićenom okruženju, nijedna druga aplikacija ne može pročitati tu datoteku, ali postoje neki slučajevi (posebno drugi) koji bi trebali prisiliti na šifriranje 2FA koda. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22. ožujka 2020
Evo kako WhatsApp čuva dvofaktorsku lozinku za autentifikaciju u običnoj tekstualnoj datoteci. Možete vidjeti da su datoteke pohranjene u privatnom spremniku.
https://twitter.com/pancakeufo/status/1241657160561504256
Ranjivost postoji i na Android uređajima
S druge strane, tekstualna datoteka zaporke vidljiva je i na ukorijenjenim Android uređajima. Dakle, to znači da druge aplikacije s root dopuštenjima mogu pristupiti datoteci da bi je pročitale.
Isto se događa na WhatsApp za Android, 2FA kôd sprema se u običnom tekstu u datoteku kojoj nije dostupan iz drugih aplikacija, ali je vidljiv na ukorijenjenim Android uređajima. To znači da, ako je vaš uređaj ukorijenjen i druga aplikacija ima root dopuštenja, može čitati kôd. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22. ožujka 2020
Korisnik Androida objavio je snimak zaslona objašnjavajući da svatko može pristupiti šifriranoj tekstualnoj datoteci.
Jao. WhatsApp na Androidu ih sprema, ali na /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22. ožujka 2020
Vrijedno je spomenuti da aplikacije ili uljezi treće strane ne mogu jednostavno koristiti 2FA kôd za pristup vašem WhatsApp računu. Također je potreban šestoznamenkasti PIN kôd koji se šalje na vaš registrirani telefonski broj. Dakle, korisnici se ne bi trebali brinuti o hakiranju.
Prema WABetaInfo, s obzirom na činjenicu da neke verzije iOS-a mogu imati određene ranjivosti, tvrtka ne bi smjela ostavljati datoteku nešifriranom. Stoga bi WhatsApp trebao zakrpati exploit tako da aplikacija pohrani šifru u šifriranom tekstu.
Oznake Što ima
