Еще один провал: WhatsApp не прячет пароли
Двухфакторная аутентификация в WhatsApp оказалась не такой защищенной, как предполагалось — блог WABetainfo обратил внимание, что пользовательский пароль, который тот придумывает самостоятельно, хранится в устройстве в незашифрованном виде.
A user has recently discovered that WhatsApp stores the 2FA passcode in plain text in a file in their sandbox.
Being into the sandbox, no other apps can read that file, but there are some cases (in particular the second one) that should force to encrypt the 2FA Code. https://t.co/nmrNSGkKSU
— WABetaInfo (@WABetaInfo) March 22, 2020
Функция двухфакторной аутентификации или, как она называется в мессенджере, «двухшаговая проверка» призвана помочь юзеру защитить свой аккаунт от проникновения извне, так как злоумышленники могут перехватить секретный код, который отправляется на номер пользователя. При включенной двухшаговой проверке владелец устройства сам выбирает себе шестизначный ПИН-код, который запрашивается каждый раз, когда мессенджер подтверждает личность владельца аккаунта в дополнение к тому коду, который отправляется в SMS-сообщении.
Как выяснили ИБ-эксперты, этот ПИН-код хранится в незашифрованном виде в «песочнице» мессенджера — области, к которой у других приложений по умолчанию нет доступа.
Тем не менее существует ряд исключений, когда все же можно попасть в «песочницу» и узнать пользовательский пароль.
Так, уязвимыми являются iPhone с джейлбрейком checkra1n, к которым у злоумышленника должен быть физический доступ.
Найти ПИН-код возможно у гаджетов на базе Android, если владелец имеет права root-доступа, которые предоставляют ему широкий ряд возможностей супер-администратора.
Один из пользователей, комментируя находку WABetainfo, заявил, что в этой уязвимости «чувствуется стиль Facebook». Действительно, у социальной сети Цукерберга последние два года наблюдаются серьезные проблемы с безопасностью данных своих пользователей. «Не отстает» в этом плане и принадлежащий корпорации WhatsApp, который уже не раз уличали в халатном отношении к защитным механизмам.
Можно сказать, что уязвимости в мессенджере уже стали мемом — в феврале текущего года Илон Маск указал, что WhatsApp поставляется «с бесплатным взломом в комплекте».
Главным критиком WhatsApp является глава Telegram Павел Дуров, пару раз в год напоминающий всем о том, почему этот мессенджер стоит удалить со своего устройства как можно скорее. В январе Дуров опубликовал пост, в котором указал на наличие в приложении бэкдоров, которыми могут воспользоваться как злоумышленники, так и спецслужбы государств. Эта публикация была вызвана новостями о том, что телефон богатейшего человека мира Джеффа Безоса мог быть взломан с помощью вредоносного сообщения в WhatsApp.
«Атака, по-видимому, исходила от иностранного правительства, вполне вероятно, что и другие бизнесмены и чиновники стали ее жертвами», — пояснил создатель Telegram.
Кроме того, Дуров раскритиковал политику конфиденциальности Facebook и усомнился в высказанной компанией версии о том, что уязвимость была связана не с ее мессенджером WhatsApp, а с программным обеспечением Apple.
– источник: www.Gаzеta.ru