ВхатсАпп
ВхатсАпп је покренуо услугу верификације од два фактора за своје милијарде корисника још 2017. Овим методом потврде идентитета компанија је имала за циљ да дода додатни ниво сигурности апликацији за размену порука.
Другим речима, кад год требате да подесите ВхатсАпп на новом телефону, добићете једнократну лозинку у сврху верификације. Дакле, ОТП послат на ваш регистровани број осигурава да други не могу да приступе вашем ВхатсАпп налогу на било који начин.
ВхатсАпп је увек био критикован грешке и рањивости у својој услузи за размену порука. Према извештају ВАБетаИнфо, неко пронашао нову рањивост у Андроид и иОС верзији ВхатсАпп-а. Корисник је открио да је двофакторска шифра за аутентификацију ускладиштена у обичној текстуалној датотеци.
Пошто се датотека чува само у заштићеном окружењу, није доступна другим независним апликацијама. Штавише, датотека се такође не чува у редовним сигурносним копијама ВхатсАпп.
Корисник је недавно открио да ВхатсАпп 2ФА лозинку чува у обичном тексту у датотеци у свом песковнику.
Будући да су у заштићеном окружењу, ниједна друга апликација не може да прочита ту датотеку, али постоје неки случајеви (посебно други) који би требало да присиле на шифровање 2ФА кода. хттпс://т.цо/нмрНСГкКСУ
- ВАБетаИнфо (@ВАБетаИнфо) 22. марта 2020
Ево како ВхатсАпп чува двофакторску лозинку за аутентификацију у обичној текстуалној датотеци. Можете видети да се датотеке чувају у приватном контејнеру.
хттпс://твиттер.цом/панцакеуфо/статус/1241657160561504256
Рањивост постоји и на Андроид уређајима
С друге стране, текстуална датотека лозинке је такође видљива на укоријењеним Андроид уређајима. Дакле, то значи да друге апликације са роот дозволама могу приступити датотеци да би је прочитале.
Исто се дешава на ВхатсАпп за Андроид, 2ФА код се чува у обичном тексту у датотеци којој није доступан из других апликација, али је видљив на укорењеним Андроид уређајима. То значи да, ако је ваш уређај укорењен, а друга апликација има роот дозволе, може да прочита код. хттпс://т.цо/хТМЦи6КсоН7
- ВАБетаИнфо (@ВАБетаИнфо) 22. марта 2020
Корисник Андроида објавио је снимак екрана објашњавајући да свако може приступити шифрованој текстуалној датотеци.
Јао. ВхатсАпп на Андроиду их чува, али на /дата/дата/апп/цом.вхатсапп/схаред_префс/цом.вхатсапп_преференцес.кмл пиц.твиттер.цом/ХцКсхУткТ0Д
- идквхатусернамеусе (@идквуу) 22. марта 2020
Вреди напоменути да независне апликације или уљези не могу једноставно да користе 2ФА код за приступ свом ВхатсАпп налогу. Такође је потребан шестоцифрени ПИН код који се шаље на ваш регистровани телефонски број. Дакле, корисници не би требало да брину о хаковању.
Према ВАБетаИнфо, с обзиром на чињеницу да неке верзије иОС-а могу имати одређене рањивости, компанија не би требало да оставља датотеку нешифровану. Дакле, ВхатсАпп треба да закрпи експлоатацију тако да апликација чува шифру у шифрованом тексту.
Ознаке ВхатсАпп