Spoločnosť WhatsApp spustila dvojfaktorovú verifikačnú službu pre svoje miliardy používateľov už v roku 2017. Touto metódou overovania sa spoločnosť zamerala na zvýšenie úrovne bezpečnosti aplikácie na zasielanie správ.
Inými slovami, kedykoľvek budete potrebovať nastaviť WhatsApp na novom telefóne, dostanete na účely overenia jednorazové heslo. Takže jednorazové heslo zaslané na vaše zaregistrované číslo zaručuje, že ostatní nemôžu žiadnym spôsobom získať prístup k vášmu účtu WhatsApp.
WhatsApp bol vždy kritizovaný chyby a zraniteľné miesta vo svojej službe správ. Podľa správy WABetaInfo niekto našla novú zraniteľnosť vo verziách WhatsApp pre Android a iOS. Používateľ zistil, že dvojfaktorový autentifikačný kód bol uložený v súbore obyčajného textu.
Pretože je súbor uložený iba v karanténe, nie je prístupný pre iné aplikácie tretích strán. Okrem toho súbor nie je uložený v bežných zálohách aplikácie WhatsApp.
Užívateľ nedávno zistil, že WhatsApp ukladá prístupový kód 2FA v obyčajnom texte do súboru v ich karanténe.
Ak sa nachádzate v karanténe, žiadny iný súbor nedokáže tento súbor prečítať, existujú však prípady (najmä druhý), ktoré by mali vynútiť šifrovanie kódu 2FA. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22.03.2020
WhatsApp uchováva dvojfaktorový autentifikačný kód v súbore obyčajného textu. Vidíte, že súbory sú uložené v súkromnom kontajneri.
https://twitter.com/pancakeufo/status/1241657160561504256
Zraniteľnosť existuje aj v zariadeniach Android
Na druhej strane je textový súbor s prístupovým kódom viditeľný aj na rootovaných zariadeniach so systémom Android. Znamená to, že k súboru môžu čítať ďalšie aplikácie s oprávnením root.
To isté sa deje v aplikácii WhatsApp pre Android. Kód 2FA sa uloží ako obyčajný text do súboru, ktorý nie je prístupný z iných aplikácií, ale je viditeľný na zakorenených zariadeniach so systémom Android. To znamená, že ak je vaše zariadenie rootované a iná aplikácia má oprávnenie root, môže tento kód prečítať. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22.03.2020
Používateľ systému Android zverejnil snímku obrazovky s vysvetlením, že k šifrovanému textovému súboru má prístup ktokoľvek.
Fuj. WhatsApp pre Android ich ukladá, ale do /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22.03.2020
Za zmienku stojí, že aplikácie alebo votrelci tretích strán nemôžu na prístup k vášmu účtu WhatsApp jednoducho použiť kód 2FA. Potrebný je aj šesťmiestny PIN kód, ktorý sa odošle na vaše registrované telefónne číslo. Používatelia by sa teda nemali obávať hacknutia.
Podľa WABetaInfo by spoločnosť vzhľadom na to, že niektoré verzie systému iOS môžu mať určité chyby zabezpečenia, nemala ponechať súbor nezašifrovaný. WhatsApp by teda mal opraviť zneužitie, aby aplikácia ukladala prístupový kód v zašifrovanom texte.
Značky WhatsApp
