WhatsApp käivitas miljardite kasutajate jaoks kaheastmelise kontrolliteenuse juba 2017. aastal. Selle autentimismeetodiga soovis ettevõte lisada sõnumsiderakendusele täiendava turvalisuse taseme.
Teisisõnu, kui peate WhatsAppi seadistama uude telefoni, saate kinnitamiseks ühekordse parooli. Seega tagab teie registreeritud numbril saadetud OTP, et teised ei saaks teie WhatsAppi kontole mingil viisil juurde pääseda.
WhatsAppi on alati kritiseeritud vigu ja haavatavusi oma sõnumside teenuses. Nagu WABetaInfo aruandes, keegi leidis uue haavatavuse WhatsAppi Androidi ja iOS-i versioonides. Kasutaja avastas, et kaheastmeline autentimise pääsukood on salvestatud lihttekstifaili.
Kuna fail on salvestatud ainult liivakasti, pole see teistele kolmandate osapoolte rakendustele juurdepääsetav. Pealegi ei salvestata faili ka tavalistes WhatsAppi varukoopiates.
Kasutaja on hiljuti avastanud, et WhatsApp salvestab 2FA pääsukoodi lihttekstis failina lihttekstina.
Liivakasti olles ei saa ükski teine rakendus seda faili lugeda, kuid mõned juhtumid (eriti teine) peaksid sundima 2FA koodi krüptima. https://t.co/nmrNSGkKSU
- WABetaInfo (@ WABetaInfo) 22. märts 2020
Siit saate teada, kuidas WhatsApp hoiab kahefaktorilise autentimise pääsukoodi tavalises tekstifailis. Näete, et failid on salvestatud privaatsesse konteinerisse.
https://twitter.com/pancakeufo/status/1241657160561504256
Haavatavus on olemas ka Android-seadmetes
Teisalt on pääsukoodi tekstifail nähtav ka juurdunud Android-seadmetes. Niisiis, see tähendab, et teised juurloaga rakendused pääsevad failile juurde, et seda lugeda.
Sama juhtub ka Androidi jaoks mõeldud WhatsAppiga, 2FA kood salvestatakse lihttekstina faili, millele pole juurdepääsu teistelt rakendustelt, kuid see on nähtav juurdunud Android-seadmetes. See tähendab, et kui teie seade on juurdunud ja mõnel teisel rakendusel on juurõigused, saab see koodi lugeda. https://t.co/hTMCy6XoN7
- WABetaInfo (@ WABetaInfo) 22. märts 2020
Androidi kasutaja postitas ekraanipildi, milles selgitatakse, et igaüks pääseb krüptitud tekstifailile juurde.
Jah. WhatsApp Androidis salvestab need, kuid /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
— idkwhatusernameuse (@idkwuu) 22. märts 2020
Tasub mainida, et kolmandate osapoolte rakendused või sissetungijad ei saa oma WhatsAppi kontole juurdepääsemiseks kasutada lihtsalt 2FA-koodi. Vaja on ka kuuekohalist PIN-koodi, mis saadetakse teie registreeritud telefoninumbrile. Seega ei peaks kasutajad muretsema häkkimise pärast.
WABetaInfo andmetel ei tohiks ettevõte, pidades silmas asjaolu, et mõnel iOS-i versioonil võivad olla teatud haavatavused, faili krüptimata. Seega peaks WhatsApp kasutuse ära lappima, et rakendus salvestaks pääsukoodi krüptitud teksti.
Sildid WhatsApp