WhatsApp melancarkan perkhidmatan pengesahan dua faktor untuk berbilion penggunanya pada tahun 2017. Dengan kaedah pengesahan ini, syarikat itu bertujuan untuk menambahkan tahap keselamatan tambahan pada aplikasi pesanan.
Dengan kata lain, setiap kali anda perlu menyiapkan WhatsApp di telefon baru, anda akan menerima kata laluan sekali sahaja untuk tujuan pengesahan. Oleh itu, OTP yang dihantar pada nombor berdaftar anda memastikan orang lain tidak dapat mengakses akaun WhatsApp anda dengan cara apa pun.
WhatsApp selalu dikritik pepijat dan kelemahan dalam perkhidmatan pesanannya. Seperti dalam laporan WABetaInfo, seseorang mendapati kelemahan baru dalam WhatsApp versi Android dan iOS. Pengguna mendapati bahawa kod laluan pengesahan dua faktor disimpan dalam fail teks biasa.
Oleh kerana fail tersebut hanya disimpan di kotak pasir, fail tersebut tidak dapat diakses oleh aplikasi pihak ketiga yang lain. Lebih-lebih lagi, fail tersebut juga tidak disimpan dalam sandaran WhatsApp biasa.
Seorang pengguna baru-baru ini mendapati bahawa WhatsApp menyimpan kod laluan 2FA dalam teks biasa dalam fail di kotak pasir mereka.
Berada di kotak pasir, tidak ada aplikasi lain yang dapat membaca fail itu, tetapi ada beberapa kes (khususnya yang kedua) yang harus memaksa untuk menyulitkan Kod 2FA. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 Mac 2020
Inilah cara WhatsApp menyimpan kod laluan pengesahan dua faktor dalam fail teks biasa. Anda dapat melihat bahawa fail disimpan dalam bekas peribadi.
https://twitter.com/pancakeufo/status/1241657160561504256
Kerentanan Juga Terdapat Pada Peranti Android
Sebaliknya, fail teks kod laluan juga dapat dilihat pada peranti Android yang di-root. Jadi, ini bermaksud bahawa aplikasi lain dengan izin root dapat mengakses fail untuk membacanya.
Perkara yang sama berlaku di WhatsApp untuk Android, Kod 2FA disimpan dalam teks biasa dalam fail yang tidak dapat diakses dari aplikasi lain, tetapi dapat dilihat pada peranti Android yang di-root. Ini bermaksud, jika peranti anda di-root dan aplikasi lain mempunyai izin root, ia dapat membaca kodnya. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 Mac 2020
Seorang pengguna Android menyiarkan tangkapan skrin yang menjelaskan bahawa sesiapa sahaja dapat mengakses fail teks yang dienkripsi.
Yikes. WhatsApp di Android menyimpannya tetapi ke /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 Mac 2020
Perlu disebutkan bahawa aplikasi pihak ketiga atau penceroboh tidak boleh menggunakan kod 2FA untuk mengakses akaun WhatsApp anda. Kod PIN enam digit yang dihantar ke nombor telefon berdaftar anda juga diperlukan. Jadi, pengguna tidak perlu risau untuk diretas.
Menurut WABetaInfo, mengingat fakta bahawa beberapa versi iOS mungkin mempunyai kelemahan tertentu, syarikat itu tidak boleh membiarkan fail tidak disulitkan. Oleh itu, WhatsApp harus menambal eksploitasi sehingga aplikasi menyimpan kod laluan dalam teks yang dienkripsi.
Teg WhatsApp