يمكن أن تؤدي ثغرة WhatsApp الجديدة إلى اختراق رموز 2FA الخاصة بك على iOS و Android

ال WhatsApp

أطلقت WhatsApp خدمة تحقق ثنائية لمليارات المستخدمين في عام 2017. باستخدام طريقة المصادقة هذه ، تهدف الشركة إلى إضافة مستوى إضافي من الأمان لتطبيق المراسلة.

بمعنى آخر ، كلما احتجت إلى إعداد WhatsApp على هاتف جديد ، ستتلقى كلمة مرور لمرة واحدة لأغراض التحقق. لذلك ، فإن كلمة المرور لمرة واحدة المرسلة على رقمك المسجل تضمن عدم تمكن الآخرين من الوصول إلى حساب WhatsApp الخاص بك بأي شكل من الأشكال.

لطالما تم انتقاد WhatsApp البق ونقاط الضعف في خدمة الرسائل. وفقًا لتقرير WABetaInfo ، شخص ما وجدت ثغرة جديدة في إصدارات Android و iOS من WhatsApp. اكتشف المستخدم أنه تم تخزين رمز مرور المصادقة الثنائية في ملف نصي عادي.

نظرًا لأنه يتم حفظ الملف في وضع الحماية فقط ، فلا يمكن الوصول إليه من قبل تطبيقات الجهات الخارجية الأخرى. علاوة على ذلك ، لا يتم تخزين الملف أيضًا في نسخ WhatsApp الاحتياطية العادية.

اكتشف أحد المستخدمين مؤخرًا أن WhatsApp يخزن رمز مرور 2FA بنص عادي في ملف في وضع الحماية الخاص به.

ليس لديك إذن للوصول على هذا الخادم

عند الدخول في وضع الحماية ، لا يمكن لأي تطبيقات أخرى قراءة هذا الملف ، ولكن هناك بعض الحالات (على وجه الخصوص الحالة الثانية) التي يجب أن تفرض تشفير رمز 2FA. https://t.co/nmrNSGkKSU

- WABetaInfo (WABetaInfo) 22 مارس 2020

إليك كيفية احتفاظ WhatsApp برمز مرور المصادقة الثنائية في ملف نص عادي. يمكنك أن ترى أن الملفات مخزنة في حاوية خاصة.

https://twitter.com/pancakeufo/status/1241657160561504256

الثغرة موجودة أيضًا على أجهزة Android

من ناحية أخرى ، يكون الملف النصي لرمز المرور مرئيًا أيضًا على أجهزة Android التي تم عمل روت لها. لذلك ، فهذا يعني أن التطبيقات الأخرى التي لديها أذونات الجذر يمكنها الوصول إلى الملف لقراءته.

يحدث الشيء نفسه على WhatsApp لنظام Android ، يتم حفظ رمز 2FA بنص عادي في ملف لا يمكن الوصول إليه من تطبيقات أخرى ، ولكنه مرئي على أجهزة Android التي تم عمل روت لها. هذا يعني أنه إذا كان جهازك متجذرًا وكان هناك تطبيق آخر لديه أذونات الجذر ، فيمكنه قراءة الرمز. https://t.co/hTMCy6XoN7

- WABetaInfo (WABetaInfo) 22 مارس 2020

نشر أحد مستخدمي Android لقطة شاشة توضح أنه يمكن لأي شخص الوصول إلى الملف النصي المشفر.

ييكيس. WhatsApp على Android يحفظها ولكن في /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D

- idkwhatusernameuse (idkwuu) 22 مارس 2020

خطأ 4000 نشل

تجدر الإشارة إلى أن تطبيقات الجهات الخارجية أو المتسللين لا يمكنهم ببساطة استخدام رمز 2FA للوصول إلى حساب WhatsApp الخاص بك. هناك حاجة أيضًا إلى رمز PIN المكون من ستة أرقام والذي يتم إرساله إلى رقم هاتفك المسجل. لذلك ، يجب ألا يقلق المستخدمون من التعرض للاختراق.

وفقًا لـ WABetaInfo ، بالنظر إلى حقيقة أن بعض إصدارات iOS قد تحتوي على نقاط ضعف معينة ، يجب على الشركة ألا تترك الملف بدون تشفير. وبالتالي ، يجب على WhatsApp تصحيح الثغرة بحيث يخزن التطبيق رمز المرور في نص مشفر.