Naber
WhatsApp, 2017 yılında milyarlarca kullanıcısı için iki faktörlü bir doğrulama hizmeti başlattı. Şirket, bu kimlik doğrulama yöntemi ile mesajlaşma uygulamasına ekstra bir güvenlik seviyesi eklemeyi hedefledi.
Başka bir deyişle, WhatsApp'ı yeni bir telefona kurmanız gerektiğinde, doğrulama amacıyla tek seferlik bir şifre alacaksınız. Bu nedenle, kayıtlı numaranıza gönderilen OTP, başkalarının WhatsApp hesabınıza hiçbir şekilde erişememesini sağlar.
WhatsApp her zaman eleştirildi hatalar ve güvenlik açıkları mesajlaşma hizmetinde. WABetaInfo raporuna göre, yeni bir güvenlik açığı buldu WhatsApp'ın Android ve iOS sürümlerinde. Kullanıcı, iki faktörlü kimlik doğrulama parolasının düz metin dosyasında saklandığını keşfetti.
Dosya yalnızca sanal alana kaydedildiği için diğer üçüncü taraf uygulamalara erişilemez. Ayrıca dosya, normal WhatsApp yedeklemelerinde de depolanmaz.
Bir kullanıcı kısa süre önce WhatsApp'ın 2FA şifresini sanal alanlarındaki bir dosyada düz metin olarak sakladığını keşfetti.
Korumalı alana dahil olan başka hiçbir uygulama bu dosyayı okuyamaz, ancak 2FA Kodunu şifrelemeye zorlaması gereken bazı durumlar (özellikle ikincisi) vardır. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 Mart 2020
WhatsApp'ın iki faktörlü kimlik doğrulama şifresini düz metin dosyasında nasıl sakladığını buradan öğrenebilirsiniz. Dosyaların özel bir kapta saklandığını görebilirsiniz.
https://twitter.com/pancakeufo/status/1241657160561504256
Güvenlik Açığı Android Cihazlarda da Var
Öte yandan, şifre metin dosyası köklü Android cihazlarda da görülebilir. Yani, kök izinlerine sahip diğer uygulamaların okumak için dosyaya erişebileceği anlamına gelir.
Aynı şey Android için WhatsApp'ta da oluyor, 2FA Kodu diğer uygulamalardan erişilemeyen bir dosyaya düz metin olarak kaydedilir, ancak köklü Android cihazlarda görülebilir. Bu, cihazınız köklü ise ve başka bir uygulamanın kök izinleri varsa, kodu okuyabileceği anlamına gelir. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 Mart 2020
Bir Android kullanıcısı, şifrelenmiş metin dosyasına herkesin erişebileceğini açıklayan bir ekran görüntüsü yayınladı.
Eyvah. Android'de WhatsApp bunları kaydeder ancak /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 Mart 2020
Üçüncü taraf uygulamaların veya davetsiz misafirlerin WhatsApp hesabınıza erişmek için 2FA kodunu kullanamayacaklarını belirtmekte fayda var. Kayıtlı telefon numaranıza gönderilen altı basamaklı bir PIN kodu da gereklidir. Bu nedenle, kullanıcılar saldırıya uğrama konusunda endişelenmemelidir.
WABetaInfo'ya göre, bazı iOS sürümlerinin belirli güvenlik açıklarına sahip olabileceği gerçeği göz önüne alındığında, şirket dosyayı şifresiz bırakmamalıdır. Bu nedenle, WhatsApp, uygulamanın parolayı şifreli bir metinde depolaması için istismarı düzeltmelidir.
Etiketler Naber