ช่องโหว่ของ WhatsApp ใหม่สามารถประนีประนอมรหัส 2FA ของคุณบน iOS และ Android
WhatsApp เปิดตัวบริการตรวจสอบสองปัจจัยสำหรับผู้ใช้หลายพันล้านคนในปี 2560 ด้วยวิธีการตรวจสอบสิทธิ์นี้ บริษัท มีเป้าหมายที่จะเพิ่มระดับความปลอดภัยพิเศษให้กับแอปพลิเคชันการส่งข้อความ
กล่าวอีกนัยหนึ่งคือเมื่อใดก็ตามที่คุณต้องการตั้งค่า WhatsApp บนโทรศัพท์เครื่องใหม่คุณจะได้รับรหัสผ่านแบบใช้ครั้งเดียวเพื่อวัตถุประสงค์ในการตรวจสอบ ดังนั้น OTP ที่ส่งไปยังหมายเลขที่ลงทะเบียนของคุณจึงทำให้แน่ใจได้ว่าผู้อื่นจะไม่สามารถเข้าถึงบัญชี WhatsApp ของคุณได้ไม่ว่าด้วยวิธีใดก็ตาม
WhatsApp ถูกวิพากษ์วิจารณ์อยู่เสมอ จุดบกพร่องและช่องโหว่ ในบริการส่งข้อความ ตามรายงานของ WABetaInfo มีคนพบช่องโหว่ใหม่ใน WhatsApp เวอร์ชัน Android และ iOS ผู้ใช้พบว่ารหัสผ่านการรับรองความถูกต้องสองปัจจัยถูกเก็บไว้ในไฟล์ข้อความธรรมดา
เนื่องจากไฟล์ถูกบันทึกไว้ในแซนด์บ็อกซ์เท่านั้นจึงไม่สามารถเข้าถึงแอปพลิเคชันของบุคคลที่สามอื่น ๆ ได้ นอกจากนี้ไฟล์ยังไม่ถูกเก็บไว้ในการสำรองข้อมูล WhatsApp ปกติ
ต่อไปนี้คือวิธีที่ WhatsApp เก็บรหัสผ่านการตรวจสอบสิทธิ์แบบสองปัจจัยไว้ในไฟล์ข้อความธรรมดา คุณจะเห็นว่าไฟล์ถูกเก็บไว้ในคอนเทนเนอร์ส่วนตัว
https://twitter.com/pancakeufo/status/1241657160561504256
ช่องโหว่ยังมีอยู่ในอุปกรณ์ Android
ในทางกลับกันไฟล์ข้อความรหัสผ่านยังสามารถมองเห็นได้บนอุปกรณ์ Android ที่รูท ดังนั้นหมายความว่าแอปอื่น ๆ ที่มีสิทธิ์รูทสามารถเข้าถึงไฟล์เพื่ออ่านได้
ผู้ใช้ Android โพสต์ภาพหน้าจออธิบายว่าทุกคนสามารถเข้าถึงไฟล์ข้อความที่เข้ารหัสได้
เป็นที่น่าสังเกตว่าแอปพลิเคชันของบุคคลที่สามหรือผู้บุกรุกไม่สามารถใช้รหัส 2FA เพื่อเข้าถึงบัญชี WhatsApp ของคุณได้ จำเป็นต้องใช้รหัส PIN หกหลักที่ส่งไปยังหมายเลขโทรศัพท์ที่ลงทะเบียนไว้ด้วย ดังนั้นผู้ใช้ไม่ควรกังวลเกี่ยวกับการถูกแฮ็ก
จากข้อมูลของ WABetaInfo เมื่อพิจารณาจากความจริงที่ว่า iOS บางเวอร์ชันอาจมีช่องโหว่บางประการ บริษัท ไม่ควรปล่อยให้ไฟล์ไม่ได้เข้ารหัส ดังนั้น WhatsApp ควรแก้ไขการใช้ประโยชน์เพื่อให้แอปเก็บรหัสผ่านในข้อความที่เข้ารหัส
