В WhatsApp нашли еще одно слабое место

Дата публикации: 26 марта 2020 05:27

Мессенджер WhatsApp, принадлежащий Facebook, хранит пользовательский пароль двухфакторной аутентификации незашифрованным. Об этом сообщили в Twitter-аккаунте издания WABetainfo.

A user has recently discovered that WhatsApp stores the 2FA passcode in plain text in a file in their sandbox. Being into the sandbox, no other apps can read that file, but there are some cases (in particular the second one) that should force to encrypt the 2FA Code. https://t.co/nmrNSGkKSU

- WABetaInfo (@WABetaInfo) March 22, 2020

Систему двухфакторной аутентификации, дополнительно защищающую аккаунт от несанкционированного доступа, мессенджер внедрил в 2017-м году. Но реализована она не так, как у других сервисов: пользователь должен сам придумать шестизначный ПИН-код. После активации функции этот пароль будет запрашиваться в дополнение к обычному коду доступа, который WhatsApp присылает по SMS при настройке аккаунта на новом устройстве.

Именно пользовательский пароль и оказался недостаточно защищенным: исследователи обнаружили, что мессенджер хранит его в незашифрованном виде в своей "песочнице" — области памяти, доступ к которой закрыт другим приложениям.

Закрыт, но не во всех случаях. Например, взломать можно iPhone, на котором поддерживается джейлбрейк checkra1n, или с версией iOS, в которой есть уязвимости, обеспечивающие взлом "песочницы". Что касается Android, там в "защищенную область" WhatsApp можно попасть на смартфонах, где владелец получил себе права суперпользователя (root-доступ).

Таким образом, обычным пользователям, использующим актуальные версии операционных систем и не проводящим нестандартных манипуляций со своими устройствами, беспокоиться не о чем. В то же время, факт хранения важнейшего пароля в незашифрованном виде наглядно демонстрирует подход Facebook к обеспечению безопасности пользователей: там, где можно сэкономить человекочасы при разработке, они обязательно будут сэкономлены.

Слабую защиту мессенджера, принадлежащего Facebook, неоднократно критиковал глава Telegram Павел Дуров. По его мнению, разработчики WhatsApp намеренно встраивают в программу бэкдоры — лазейки, позволяющие заинтересованным лицам получить доступ к пользовательским данным.

!function (e) { function t(t, n) { if (!(n in e)) { for (var r, a = e.document, i = a.scripts, o = i.length; o--;) if (-1 !== i[o].src.indexOf(t)) { r = i[o]; break } if (!r) { r = a.createElement("script"), r.type = "text/javascript", r.async = !0, r.defer = !0, r.src = t, r.charset = "UTF-8"; ;var d = function () { var e = a.getElementsByTagName("script")[0]; e.parentNode.insertBefore(r, e) }; "[object Opera]" == e.opera ? a.addEventListener ? a.addEventListener("DOMContentLoaded", d, !1) : e.attachEvent("onload", d) : d() } } } t("https://top-fwz1.mail.ru/js/code.js", "_tmr"), t("https://mediator.imgsmail.ru/2/mpf-mediator.min.js", "_mediator") }(window);Текст: Вести.Hi-tech

---