WhatsApp เปิดตัวบริการยืนยันสองปัจจัยสำหรับผู้ใช้หลายพันล้านคนในปี 2560 ด้วยวิธีการตรวจสอบสิทธิ์นี้ บริษัท มีเป้าหมายที่จะเพิ่มระดับความปลอดภัยให้กับแอปพลิเคชันการส่งข้อความ
กล่าวอีกนัยหนึ่งเมื่อใดก็ตามที่คุณต้องการตั้งค่า WhatsApp บนโทรศัพท์เครื่องใหม่คุณจะได้รับรหัสผ่านแบบใช้ครั้งเดียวเพื่อวัตถุประสงค์ในการตรวจสอบ ดังนั้น OTP ที่ส่งไปยังหมายเลขที่ลงทะเบียนของคุณจึงทำให้แน่ใจได้ว่าผู้อื่นจะไม่สามารถเข้าถึงบัญชี WhatsApp ของคุณได้ไม่ว่าทางใดก็ตาม
WhatsApp ถูกวิพากษ์วิจารณ์อยู่เสมอ จุดบกพร่องและช่องโหว่ ในบริการส่งข้อความ ตามรายงานของ WABetaInfo มีคน พบช่องโหว่ใหม่ ใน WhatsApp เวอร์ชัน Android และ iOS ผู้ใช้พบว่ารหัสผ่านการรับรองความถูกต้องสองปัจจัยถูกเก็บไว้ในไฟล์ข้อความธรรมดา
เนื่องจากไฟล์ถูกบันทึกไว้ในแซนด์บ็อกซ์เท่านั้นจึงไม่สามารถเข้าถึงแอปพลิเคชันของบุคคลที่สามอื่น ๆ ได้ ยิ่งไปกว่านั้นไฟล์จะไม่ถูกเก็บไว้ในการสำรองข้อมูล WhatsApp ปกติ
ผู้ใช้เพิ่งค้นพบว่า WhatsApp เก็บรหัสผ่าน 2FA เป็นข้อความธรรมดาในไฟล์ในแซนด์บ็อกซ์
เมื่ออยู่ในแซนด์บ็อกซ์ไม่มีแอปอื่น ๆ ที่สามารถอ่านไฟล์นั้นได้ แต่มีบางกรณี (โดยเฉพาะอย่างยิ่งอันที่สอง) ที่ควรบังคับให้เข้ารหัส 2FA Code https://t.co/nmrNSGkKSU
- WABetaInfo (@WABetaInfo) 22 มีนาคม 2020
ต่อไปนี้คือวิธีที่ WhatsApp เก็บรหัสผ่านการตรวจสอบสิทธิ์แบบสองปัจจัยไว้ในไฟล์ข้อความธรรมดา คุณจะเห็นว่าไฟล์ถูกเก็บไว้ในคอนเทนเนอร์ส่วนตัว
https://twitter.com/pancakeufo/status/1241657160561504256
ช่องโหว่ยังมีอยู่ในอุปกรณ์ Android
ในทางกลับกันไฟล์ข้อความรหัสผ่านยังสามารถมองเห็นได้บนอุปกรณ์ Android ที่รูท ดังนั้นหมายความว่าแอปอื่น ๆ ที่มีสิทธิ์รูทสามารถเข้าถึงไฟล์เพื่ออ่านได้
สิ่งเดียวกันนี้เกิดขึ้นใน WhatsApp สำหรับ Android รหัส 2FA จะถูกบันทึกเป็นข้อความธรรมดาในไฟล์ที่ไม่สามารถเข้าถึงได้จากแอพอื่น ๆ แต่สามารถมองเห็นได้บนอุปกรณ์ Android ที่รูท ซึ่งหมายความว่าหากอุปกรณ์ของคุณได้รับการรูทและแอปอื่นมีสิทธิ์ระดับรากก็สามารถอ่านรหัสได้ https://t.co/hTMCy6XoN7
- WABetaInfo (@WABetaInfo) 22 มีนาคม 2020
ผู้ใช้ Android โพสต์ภาพหน้าจออธิบายว่าทุกคนสามารถเข้าถึงไฟล์ข้อความที่เข้ารหัสได้
อือ. WhatsApp บน Android จะบันทึก แต่เป็น /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml pic.twitter.com/HcXhUtqT0D
- idkwhatusernameuse (@idkwuu) 22 มีนาคม 2020
เป็นที่น่าสังเกตว่าแอปพลิเคชันของบุคคลที่สามหรือผู้บุกรุกไม่สามารถใช้รหัส 2FA เพื่อเข้าถึงบัญชี WhatsApp ของคุณได้ จำเป็นต้องใช้รหัส PIN หกหลักที่ส่งไปยังหมายเลขโทรศัพท์ที่ลงทะเบียนไว้ด้วย ดังนั้นผู้ใช้ไม่ควรกังวลเกี่ยวกับการถูกแฮ็ก
จากข้อมูลของ WABetaInfo เมื่อพิจารณาจากความจริงที่ว่า iOS บางเวอร์ชันอาจมีช่องโหว่บางอย่าง บริษัท ไม่ควรปล่อยให้ไฟล์ไม่ได้เข้ารหัส ดังนั้น WhatsApp ควรแก้ไขการใช้ประโยชน์เพื่อให้แอปเก็บรหัสผ่านในข้อความที่เข้ารหัส
แท็ก WhatsApp