WhatsApp хранит коды для 2FA в открытом виде

Еще в 2017 году WhatsApp получил механизм двухфакторной аутентификации, призванный обеспечить дополнительный уровень безопасности для миллионов пользователей мессенджера. Однако, как обнаружилось недавно, в реализации этого механизме есть серьезный недостаток.

Согласно сообщениям пользователей Twitter, WhatsApp хранит коды безопасности для двухфакторной аутентификации в незашифрованном виде (на iOS-устройствах в /var/mobile/Containers/Data/Application/Whatsapp/Library, на Android-устройствах в /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml).

Текстовый файл с кодом хранится в песочнице, поэтому другие приложения не могут получить к нему доступ. К тому же, копия файла не сохраняется в обычных резервных копиях WhatsApp. С другой стороны, коды видны на Android-устройствах, чьи владельцы имеют на них права суперпользователя. То есть, у приложений с привилегиями суперпользователя есть доступ к файлу с кодом. В iOS также могут быть уязвимости, позволяющие сторонним приложениям получать доступ к файлу, поэтому разработчикам WhatsApp стоит зашифровать его во избежание возможных негативных последствий.

Источник: https://www.securitylab.ru/news/506148.php