Lỗ hổng mới của WhatsApp có thể thỏa hiệp mã 2FA của bạn trên iOS và Android
WhatsApp đã tung ra dịch vụ xác minh hai yếu tố cho hàng tỷ người dùng của mình vào năm 2017. Với phương thức xác thực này, công ty nhằm mục đích tăng thêm mức độ bảo mật cho ứng dụng nhắn tin.
Nói cách khác, bất cứ khi nào bạn cần thiết lập WhatsApp trên điện thoại mới, bạn sẽ nhận được mật khẩu dùng một lần cho mục đích xác minh. Vì vậy, OTP được gửi trên số đã đăng ký của bạn đảm bảo rằng những người khác không thể truy cập tài khoản WhatsApp của bạn theo bất kỳ cách nào.
WhatsApp luôn bị chỉ trích vì lỗi và lỗ hổng trong dịch vụ nhắn tin của nó. Theo báo cáo của WABetaInfo, ai đó đã tìm thấy một lỗ hổng mới trong phiên bản WhatsApp Android và iOS. Người dùng phát hiện ra rằng mật mã xác thực hai yếu tố được lưu trữ trong một tệp văn bản thuần túy.
Vì tệp chỉ được lưu trong hộp cát, nên các ứng dụng của bên thứ ba khác không thể truy cập tệp này. Hơn nữa, tệp cũng không được lưu trữ trong các bản sao lưu WhatsApp thông thường.
Đây là cách WhatsApp giữ mật mã xác thực hai yếu tố trong một tệp văn bản thuần túy. Bạn có thể thấy rằng các tệp được lưu trữ trong một vùng chứa riêng tư.
https://twitter.com/pancakeufo/status/1241657160561504256
Lỗ hổng bảo mật cũng tồn tại trên thiết bị Android
Mặt khác, tệp văn bản mật mã cũng hiển thị trên các thiết bị Android đã root. Vì vậy, điều đó có nghĩa là các ứng dụng khác có quyền root có thể truy cập tệp để đọc nó.
Một người dùng Android đã đăng ảnh chụp màn hình giải thích rằng bất kỳ ai cũng có thể truy cập tệp văn bản được mã hóa.
Điều đáng nói là các ứng dụng của bên thứ ba hoặc những kẻ xâm nhập không thể chỉ sử dụng mã 2FA để truy cập vào tài khoản WhatsApp của bạn. Mã PIN gồm sáu chữ số được gửi đến số điện thoại đã đăng ký của bạn cũng cần thiết. Vì vậy, người dùng không nên lo lắng về việc bị hack.
Theo WABetaInfo, xem xét thực tế là một số phiên bản iOS có thể có một số lỗ hổng nhất định, công ty không nên để tệp không được mã hóa. Do đó, WhatsApp nên vá lỗi khai thác để ứng dụng lưu trữ mật mã dưới dạng văn bản được mã hóa.