В WhatsApp нашли еще одно слабое место

Мессенджер WhatsApp, принадлежащий Facebook, хранит пользовательский пароль двухфакторной аутентификации незашифрованным. Об этом сообщили в Twitter-аккаунте издания WABetainfo.

Систему двухфакторной аутентификации, дополнительно защищающую аккаунт от несанкционированного доступа, мессенджер внедрил в 2017-м году. Но реализована она не так, как у других сервисов: пользователь должен сам придумать шестизначный ПИН-код. После активации функции этот пароль будет запрашиваться в дополнение к обычному коду доступа, который WhatsApp присылает по SMS при настройке аккаунта на новом устройстве.

Именно пользовательский пароль и оказался недостаточно защищенным: исследователи обнаружили, что мессенджер хранит его в незашифрованном виде в своей "песочнице" — области памяти, доступ к которой закрыт другим приложениям.

Закрыт, но не во всех случаях. Например, взломать можно iPhone, на котором поддерживается джейлбрейк checkra1n, или с версией iOS, в которой есть уязвимости, обеспечивающие взлом "песочницы". Что касается Android, там в "защищенную область" WhatsApp можно попасть на смартфонах, где владелец получил себе права суперпользователя (root-доступ).

Таким образом, обычным пользователям, использующим актуальные версии операционных систем и не проводящим нестандартных манипуляций со своими устройствами, беспокоиться не о чем. В то же время, факт хранения важнейшего пароля в незашифрованном виде наглядно демонстрирует подход Facebook к обеспечению безопасности пользователей: там, где можно сэкономить человекочасы при разработке, они обязательно будут сэкономлены.

Слабую защиту мессенджера, принадлежащего Facebook, неоднократно критиковал глава Telegram Павел Дуров. По его мнению, разработчики WhatsApp намеренно встраивают в программу бэкдоры — лазейки, позволяющие заинтересованным лицам получить доступ к пользовательским данным.