Naglunsad ang WhatsApp ng serbisyo ng pagpapatunay na may dalawang kadahilanan para sa bilyun-bilyong mga gumagamit nito noong 2017. Sa pamamaraang pagpapatotoo na ito, naglalayon ang kumpanya na magdagdag ng isang karagdagang antas ng seguridad sa application ng pagmemensahe.
Sa madaling salita, tuwing kailangan mong i-set up ang WhatsApp sa isang bagong telepono, makakatanggap ka ng isang isang beses na password para sa mga layunin sa pag-verify. Kaya, ang OTP na ipinadala sa iyong nakarehistrong numero ay nagsisiguro na hindi mai-access ng iba ang iyong WhatsApp account sa anumang paraan.
Palaging pinintasan ang WhatsApp mga bug at kahinaan sa serbisyo ng pagmemensahe nito. Tulad ng ulat sa WABetaInfo, isang tao natagpuan ang isang bagong kahinaan sa mga bersyon ng Android at iOS ng WhatsApp. Natuklasan ng gumagamit na ang two-factor authentication passcode ay nakaimbak sa isang payak na file ng teksto.
Dahil ang file ay nai-save lamang sa sandbox, hindi ito maa-access sa iba pang mga application ng third-party. Bukod dito, ang file ay hindi rin nakaimbak sa regular na mga pag-backup ng WhatsApp.
Natuklasan kamakailan ng isang gumagamit na ang WhatsApp ay nag-iimbak ng 2FA passcode sa payak na teksto sa isang file sa kanilang sandbox.
Ang pagiging sa sandbox, walang ibang mga app ang makakabasa ng file na iyon, ngunit may ilang mga kaso (partikular na ang pangalawa) na dapat pilitin na i-encrypt ang 2FA Code. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) Marso 22, 2020
Narito kung paano pinapanatili ng WhatsApp ang passcode ng pagpapatotoo ng dalawang-kadahilanan sa isang payak na file ng teksto. Maaari mong makita na ang mga file ay nakaimbak sa isang pribadong lalagyan.
https://twitter.com/pancakeufo/status/1241657160561504256
Umiiral din ang Kakulangan sa Mga Android Device
Sa kabilang banda, ang passcode text file ay nakikita rin sa mga naka-root na Android device. Kaya, nangangahulugan ito na ang ibang mga app na may mga pahintulot sa ugat ay maaaring ma-access ang file upang mabasa ito.
Ang parehong nangyayari sa WhatsApp para sa Android, ang 2FA Code ay nai-save sa simpleng teksto sa isang file na hindi ma-access mula sa iba pang mga app, ngunit nakikita ito sa mga naka-root na mga Android device. Nangangahulugan ito na, kung ang iyong aparato ay naka-root at ang isa pang app ay may mga pahintulot sa ugat, maaari nitong basahin ang code. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) Marso 22, 2020
Ang isang gumagamit ng Android ay nag-post ng isang screenshot na nagpapaliwanag na ang sinumang maaaring ma-access ang naka-encrypt na file ng teksto.
Yikes. Sine-save sila ng WhatsApp sa Android ngunit sa /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) Marso 22, 2020
Mahalagang banggitin na ang mga application ng third-party o mga nanghihimasok ay hindi maaaring simpleng gamitin ang 2FA code upang ma-access ang iyong WhatsApp account. Ang isang anim na digit na PIN code na ipinadala sa iyong nakarehistrong numero ng telepono ay kinakailangan din. Kaya, ang mga gumagamit ay hindi dapat magalala tungkol sa pag-hack.
Ayon sa WABetaInfo, isinasaalang-alang ang katunayan na ang ilang mga bersyon ng iOS ay maaaring may ilang mga kahinaan, hindi dapat iwanan ng kumpanya ang file na hindi naka-encrypt. Kaya, dapat na patch ng WhatsApp ang pagsasamantala upang maiimbak ng app ang passcode sa isang naka-encrypt na teksto.
Mga tag WhatsApp
