WhatsApp je za svoje milijarde uporabnikov lansiral dvofaktorsko storitev preverjanja že leta 2017. S tem načinom preverjanja pristnosti je podjetje želelo aplikaciji za sporočanje dodati dodatno raven varnosti.
Z drugimi besedami, kadar koli želite nastaviti WhatsApp na novem telefonu, boste za namene preverjanja prejeli enkratno geslo. Torej, OTP, poslan na vašo registrirano številko, zagotavlja, da drugi ne morejo na noben način dostopati do vašega računa WhatsApp.
WhatsApp je bil vedno kritiziran napak in ranljivosti v svoji storitvi sporočanja. Po poročilu WABetaInfo nekdo našel novo ranljivost v različicah WhatsApp za Android in iOS. Uporabnik je odkril, da je geslo za dvostopenjsko preverjanje pristnosti shranjeno v navadni besedilni datoteki.
Ker je datoteka shranjena samo v peskovniku, ni dostopna drugim aplikacijam drugih proizvajalcev. Poleg tega datoteka tudi ni shranjena v običajnih varnostnih kopijah WhatsApp.
Uporabnik je nedavno odkril, da WhatsApp geslo 2FA shrani v golem besedilu v datoteki v svojem peskovniku.
Ker je datoteka v peskovniku, te datoteke ne more prebrati nobena druga aplikacija, vendar je v nekaterih primerih (zlasti drugem) treba šifrirati kodo 2FA. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22. marec 2020
Evo, kako WhatsApp hrani dvofaktorsko geslo za preverjanje pristnosti v navadni besedilni datoteki. Vidite lahko, da so datoteke shranjene v zasebnem vsebniku.
https://twitter.com/pancakeufo/status/1241657160561504256
Ranljivost obstaja tudi na napravah Android
Po drugi strani pa je besedilna datoteka gesla vidna tudi na ukoreninjenih napravah Android. To pomeni, da lahko druge aplikacije s korenskimi dovoljenji dostopajo do datoteke in jo preberejo.
Enako se dogaja na WhatsApp za Android, koda 2FA je shranjena v navadnem besedilu v datoteki, ki ni dostopna iz drugih aplikacij, vendar je vidna v zakoreninjenih napravah Android. To pomeni, da lahko, če je vaša naprava zakoreninjena in ima druga aplikacija korenska dovoljenja, prebere kodo. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22. marec 2020
Uporabnik Androida je objavil posnetek zaslona, v katerem je pojasnil, da lahko kdo dostopa do šifrirane besedilne datoteke.
Joj. WhatsApp v Androidu jih shrani, ampak na /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22. marec 2020
Omeniti velja, da neodvisne aplikacije ali vsiljivci ne morejo preprosto uporabiti kode 2FA za dostop do vašega računa WhatsApp. Potrebna je tudi šestmestna koda PIN, ki se pošlje na vašo registrirano telefonsko številko. Uporabnikov torej ne bi smelo skrbeti, da jih ne bi vdrli.
Glede na dejstvo, da imajo nekatere različice iOS določene ranljivosti, WABetaInfo ne bi smel pustiti datoteke nešifrirane. Tako naj WhatsApp popravi izkoriščanje, tako da aplikacija shrani geslo v šifrirano besedilo.
Oznake WhatsApp