Ny WhatsApp-sårbarhed kan kompromittere dine 2FA-koder på iOS og Android
WhatsApp lancerede en to-faktor verifikationstjeneste for sine milliarder af brugere tilbage i 2017. Med denne godkendelsesmetode sigtede virksomheden mod at tilføje et ekstra sikkerhedsniveau til messaging-applikationen.
Med andre ord, når du har brug for at konfigurere WhatsApp på en ny telefon, vil du modtage en engangskodeord til bekræftelsesformål. Så OTP sendt på dit registrerede nummer sikrer, at andre ikke kan få adgang til din WhatsApp-konto på nogen måde.
WhatsApp har altid været kritiseret for bugs og sårbarheder i sin messaging-tjeneste. I henhold til WABetaInfo-rapporten fandt nogen en ny sårbarhed i Android- og iOS-versionerne af WhatsApp. Brugeren opdagede, at to-faktor-godkendelsesadgangskoden blev gemt i en almindelig tekstfil.
Da filen kun gemmes i sandkassen, er den ikke tilgængelig for andre tredjepartsapplikationer. Desuden er filen heller ikke gemt i de almindelige WhatsApp-sikkerhedskopier.
Sådan opbevarer WhatsApp to-faktor-godkendelsesadgangskoden i en almindelig tekstfil. Du kan se, at filerne er gemt i en privat container.
https://twitter.com/pancakeufo/status/1241657160561504256
Sårbarheden findes også på Android-enheder
På den anden side er adgangskodetekstfilen også synlig på rodfæstede Android-enheder. Så det betyder, at andre apps med rodtilladelser kan få adgang til filen for at læse den.
En Android-bruger indsendte et skærmbillede, der forklarede, at alle kan få adgang til den krypterede tekstfil.
Det er værd at nævne, at tredjepartsapplikationer eller ubudne gæster ikke bare kan bruge 2FA-koden til at få adgang til din WhatsApp-konto. En sekscifret PIN-kode, der sendes til dit registrerede telefonnummer, er også nødvendig. Så brugerne skal ikke bekymre sig om at blive hacket.
Ifølge WABetaInfo, i betragtning af det faktum, at nogle iOS-versioner kan have visse sårbarheder, bør virksomheden ikke lade filen være krypteret. Således skal WhatsApp lappe udnyttelsen, så appen gemmer adgangskoden i en krypteret tekst.