WhatsApp lancerede en tofaktors verifikationstjeneste for sine milliarder af brugere tilbage i 2017. Med denne godkendelsesmetode havde virksomheden til formål at tilføje et ekstra sikkerhedsniveau til messaging-applikationen.
Med andre ord, når du har brug for at konfigurere WhatsApp på en ny telefon, modtager du en engangskodeord til bekræftelsesformål. Så OTP sendt på dit registrerede nummer sikrer, at andre ikke kan få adgang til din WhatsApp-konto på nogen måde.
WhatsApp har altid været kritiseret for bugs og sårbarheder i sin messaging-tjeneste. I henhold til WABetaInfo-rapporten er der nogen fundet en ny sårbarhed i Android- og iOS-versionerne af WhatsApp. Brugeren opdagede, at tofaktorautentificeringsadgangskoden blev gemt i en almindelig tekstfil.
Da filen kun gemmes i sandkassen, er den ikke tilgængelig for andre tredjepartsapplikationer. Desuden er filen heller ikke gemt i de almindelige WhatsApp-sikkerhedskopier.
En bruger har for nylig opdaget, at WhatsApp gemmer 2FA-adgangskoden i almindelig tekst i en fil i deres sandkasse.
At være i sandkassen kan ingen andre apps læse den fil, men der er nogle tilfælde (især den anden), der skulle tvinge til at kryptere 2FA-koden. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22. marts 2020
Sådan opbevarer WhatsApp to-faktor-godkendelsesadgangskoden i en almindelig tekstfil. Du kan se, at filerne er gemt i en privat container.
https://twitter.com/pancakeufo/status/1241657160561504256
Sårbarheden findes også på Android-enheder
På den anden side er adgangskodetekstfilen også synlig på rodfæstede Android-enheder. Så det betyder, at andre apps med rodtilladelser kan få adgang til filen for at læse den.
Det samme sker på WhatsApp til Android, 2FA-koden gemmes i almindelig tekst i en fil, der ikke er tilgængelig fra andre apps, men den er synlig på rodfæstede Android-enheder. Dette betyder, at hvis din enhed er rodfæstet, og en anden app har rodtilladelser, kan den læse koden. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22. marts 2020
En Android-bruger indsendte et skærmbillede, der forklarede, at alle kan få adgang til den krypterede tekstfil.
Yikes. WhatsApp på Android gemmer dem, men til /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22. marts 2020
Det er værd at nævne, at tredjepartsapplikationer eller ubudne gæster ikke bare kan bruge 2FA-koden til at få adgang til din WhatsApp-konto. En sekscifret PIN-kode, der sendes til dit registrerede telefonnummer, er også nødvendig. Så brugerne skal ikke bekymre sig om at blive hacket.
Ifølge WABetaInfo, i betragtning af det faktum, at nogle iOS-versioner kan have visse sårbarheder, bør virksomheden ikke lade filen være krypteret. Således skal WhatsApp lappe udnyttelsen, så appen gemmer adgangskoden i en krypteret tekst.
Mærker WhatsApp