Nieuwe WhatsApp-kwetsbaarheid kan uw 2FA-codes op iOS en Android in gevaar brengen
WhatsApp lanceerde in 2017 een tweefactorauthenticatieservice voor zijn miljarden gebruikers. Met deze authenticatiemethode wilde het bedrijf een extra beveiligingsniveau toevoegen aan de berichtentoepassing.
Met andere woorden, wanneer u WhatsApp op een nieuwe telefoon moet instellen, ontvangt u een eenmalig wachtwoord voor verificatiedoeleinden. De OTP die op uw geregistreerde nummer wordt verzonden, zorgt er dus voor dat anderen op geen enkele manier toegang hebben tot uw WhatsApp-account.
WhatsApp is altijd bekritiseerd bugs en kwetsbaarheden in zijn berichtenservice. Volgens het WABetaInfo-rapport vond iemand een nieuwe kwetsbaarheid in de Android- en iOS-versies van WhatsApp. De gebruiker ontdekte dat de toegangscode voor tweefactorauthenticatie was opgeslagen in een gewoon tekstbestand.
Omdat het bestand alleen in de sandbox wordt opgeslagen, is het niet toegankelijk voor andere toepassingen van derden. Bovendien wordt het bestand ook niet opgeslagen in de reguliere WhatsApp-back-ups.
Hier is hoe WhatsApp de toegangscode voor tweefactorauthenticatie in een gewoon tekstbestand bewaart. U kunt zien dat de bestanden in een privécontainer zijn opgeslagen.
https://twitter.com/pancakeufo/status/1241657160561504256
De kwetsbaarheid bestaat ook op Android-apparaten
Aan de andere kant is het wachtwoordcodetekstbestand ook zichtbaar op geroote Android-apparaten. Het betekent dus dat andere apps met rootrechten toegang hebben tot het bestand om het te lezen.
Een Android-gebruiker heeft een screenshot geplaatst waarin wordt uitgelegd dat iedereen toegang heeft tot het gecodeerde tekstbestand.
Het is vermeldenswaard dat applicaties van derden of indringers niet simpelweg de 2FA-code kunnen gebruiken om toegang te krijgen tot uw WhatsApp-account. Een zescijferige pincode die naar uw geregistreerde telefoonnummer wordt gestuurd, is ook nodig. Gebruikers hoeven zich dus geen zorgen te maken dat ze worden gehackt.
Volgens WABetaInfo, gezien het feit dat sommige iOS-versies bepaalde kwetsbaarheden kunnen hebben, zou het bedrijf het bestand niet onversleuteld moeten laten. WhatsApp zou de exploit dus moeten patchen, zodat de app de toegangscode in een gecodeerde tekst opslaat.