Ny WhatsApp-sårbarhet kan kompromittere dine 2FA-koder på iOS og Android
WhatsApp lanserte en tofaktors verifiseringstjeneste for sine milliarder brukere tilbake i 2017. Med denne autentiseringsmetoden hadde selskapet som mål å legge til et ekstra sikkerhetsnivå i meldingsapplikasjonen.
Med andre ord, når du trenger å konfigurere WhatsApp på en ny telefon, vil du motta et engangspassord for bekreftelsesformål. Så OTP sendt på det registrerte nummeret ditt sørger for at andre ikke får tilgang til WhatsApp-kontoen din på noen måte.
WhatsApp har alltid blitt kritisert for bugs og sårbarheter i sin meldingstjeneste. I henhold til WABetaInfo-rapporten fant noen en ny sårbarhet i Android- og iOS-versjonene av WhatsApp. Brukeren oppdaget at tofaktorautentiseringskoden var lagret i en ren tekstfil.
Siden filen bare er lagret i sandkassen, er den ikke tilgjengelig for andre tredjepartsapplikasjoner. Dessuten er filen heller ikke lagret i de vanlige WhatsApp-sikkerhetskopiene.
Slik lagrer WhatsApp tofaktorautentiseringskoden i en ren tekstfil. Du kan se at filene er lagret i en privat container.
https://twitter.com/pancakeufo/status/1241657160561504256
Sårbarheten eksisterer også på Android-enheter
På den annen side er passordtekstfilen også synlig på rooted Android-enheter. Så det betyr at andre apper med rottillatelser kan få tilgang til filen for å lese den.
En Android-bruker la ut et skjermbilde som forklarte at alle kan få tilgang til den krypterte tekstfilen.
Det er verdt å nevne at tredjepartsapplikasjoner eller inntrengere ikke bare kan bruke 2FA-koden for å få tilgang til WhatsApp-kontoen din. Det trengs også en sekssifret PIN-kode som sendes til det registrerte telefonnummeret ditt. Så brukerne bør ikke bekymre seg for å bli hacket.
I følge WABetaInfo, med tanke på at noen iOS-versjoner kan ha visse sikkerhetsproblemer, bør ikke selskapet la filen være kryptert. Dermed bør WhatsApp lappe utnyttelsen slik at appen lagrer passordet i en kryptert tekst.