WhatsApp은 2017 년에 수십억 명의 사용자를 대상으로 2 단계 인증 서비스를 시작했습니다.이 인증 방법을 통해 회사는 메시징 응용 프로그램에 보안 수준을 추가하는 것을 목표로했습니다.
즉, 새 휴대폰에서 WhatsApp을 설정해야 할 때마다 확인 목적으로 일회용 암호를 받게됩니다. 따라서 등록 된 번호로 전송 된 OTP는 다른 사람이 어떤 식 으로든 WhatsApp 계정에 액세스 할 수 없도록합니다.
WhatsApp은 항상 비판을 받았습니다. 버그 및 취약성 메시징 서비스에서. WABetaInfo 보고서에 따르면 누군가 새로운 취약점 발견 WhatsApp의 Android 및 iOS 버전에서. 사용자는 2 단계 인증 암호가 일반 텍스트 파일에 저장되어 있음을 발견했습니다.
파일은 샌드 박스에만 저장되므로 다른 타사 응용 프로그램에서 액세스 할 수 없습니다. 또한 파일은 일반 WhatsApp 백업에도 저장되지 않습니다.
사용자는 최근 WhatsApp이 샌드 박스의 파일에 2FA 암호를 일반 텍스트로 저장한다는 사실을 발견했습니다.
샌드 박스에 들어가면 다른 앱은 해당 파일을 읽을 수 없지만 2FA 코드를 강제로 암호화해야하는 경우 (특히 두 번째 경우)가 있습니다. https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 2020 년 3 월 22 일
WhatsApp이 일반 텍스트 파일에 이중 인증 암호를 유지하는 방법은 다음과 같습니다. 파일이 개인 컨테이너에 저장되어 있음을 알 수 있습니다.
https://twitter.com/pancakeufo/status/1241657160561504256
취약점은 Android 장치에도 존재합니다.
반면에 패스 코드 텍스트 파일은 루팅 된 Android 장치에서도 볼 수 있습니다. 따라서 루트 권한이있는 다른 앱이 파일에 액세스하여 읽을 수 있음을 의미합니다.
Android 용 WhatsApp에서도 마찬가지입니다. 2FA 코드는 다른 앱에서 액세스 할 수없는 파일에 일반 텍스트로 저장되지만 루팅 된 Android 기기에서는 볼 수 있습니다. 즉, 기기가 루팅되고 다른 앱에 루트 권한이있는 경우 코드를 읽을 수 있습니다. https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 2020 년 3 월 22 일
Android 사용자는 누구나 암호화 된 텍스트 파일에 액세스 할 수 있음을 설명하는 스크린 샷을 게시했습니다.
Yikes. Android의 WhatsApp은 저장하지만 /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
-idkwhatusernameuse (@idkwuu) 2020 년 3 월 22 일
타사 애플리케이션이나 침입자가 단순히 2FA 코드를 사용하여 WhatsApp 계정에 액세스 할 수는 없다는 점을 언급 할 가치가 있습니다. 등록 된 전화 번호로 전송되는 6 자리 PIN 코드도 필요합니다. 따라서 사용자는 해킹에 대해 걱정할 필요가 없습니다.
WABetaInfo에 따르면 일부 iOS 버전에는 특정 취약점이있을 수 있다는 사실을 고려할 때 회사는 파일을 암호화하지 않은 상태로두면 안됩니다. 따라서 WhatsApp은 앱이 암호를 암호화 된 텍스트에 저장하도록 익스플로잇을 패치해야합니다.
태그 WhatsApp
