WhatsApp lanserade en tvåfaktorsverifieringstjänst för sina miljarder användare redan 2017. Med denna autentiseringsmetod siktade företaget på att lägga till en extra säkerhetsnivå i meddelandeprogrammet.
Med andra ord, när du behöver konfigurera WhatsApp på en ny telefon får du ett engångslösenord för verifieringsändamål. Så OTP som skickas på ditt registrerade nummer säkerställer att andra inte kan komma åt ditt WhatsApp-konto på något sätt.
WhatsApp har alltid kritiserats för buggar och sårbarheter i sin meddelandetjänst. Enligt WABetaInfo-rapporten, någon hittade en ny sårbarhet i Android- och iOS-versionerna av WhatsApp. Användaren upptäckte att tvåfaktorsautentiseringslösenordet lagrades i en vanlig textfil.
Eftersom filen bara sparas i sandlådan är den inte tillgänglig för andra tredjepartsapplikationer. Dessutom sparas inte filen i de vanliga WhatsApp-säkerhetskopiorna.
En användare har nyligen upptäckt att WhatsApp lagrar 2FA-lösenordet i ren text i en fil i sin sandlåda.
Att vara i sandlådan kan inga andra appar läsa den filen, men det finns vissa fall (särskilt den andra) som bör tvinga att kryptera 2FA-koden. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 mars 2020
Så här håller WhatsApp tvåfaktorsautentiseringslösenordet i en vanlig textfil. Du kan se att filerna lagras i en privat behållare.
https://twitter.com/pancakeufo/status/1241657160561504256
Sårbarheten finns också på Android-enheter
Å andra sidan är lösenordets textfil också synlig på rotade Android-enheter. Så det betyder att andra appar med rotbehörigheter kan komma åt filen för att läsa den.
Detsamma händer på WhatsApp för Android, 2FA-koden sparas i klartext i en fil som inte är tillgänglig från andra appar, men den syns på rotade Android-enheter. Det betyder att om din enhet är rotad och en annan app har rootbehörigheter kan den läsa koden. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 mars 2020
En Android-användare publicerade en skärmdump som förklarade att vem som helst kan komma åt den krypterade textfilen.
Yikes. WhatsApp på Android sparar dem men till /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 mars 2020
Det är värt att nämna att tredjepartsapplikationer eller inkräktare inte bara kan använda 2FA-koden för att komma åt ditt WhatsApp-konto. En sexsiffrig PIN-kod som skickas till ditt registrerade telefonnummer behövs också. Så användarna bör inte oroa sig för att bli hackade.
Enligt WABetaInfo, med tanke på att vissa iOS-versioner kan ha vissa sårbarheter, bör företaget inte lämna filen okrypterad. WhatsApp bör alltså patcha exploateringen så att appen lagrar lösenordet i en krypterad text.
Taggar WhatsApp