«Дыра» в WhatsApp для iPhone позволяет читать кому угодно читать чужие сообщения
21 фев 2019 10:40 #77459
от ICT
Уязвимость в WhatsApp В WhatsApp обнаружена уязвимость, которая позволяет просматривать чаты, не подтвердив личность пользователя. Она присутствует в версии мессенджера для iOS, в которой недавно стала возможна биометрическая аутентификация по лицу или отпечатку пальца непосредственно перед получением доступа к переписке. Найденный баг как раз и позволяет избежать процедуры биометрической аутентификации. Описание уязвимости представил пользователь Reddit с никнеймом de_X_ter. Как известно, в iOS есть инструмент Share Sheet, с помощью которого пользователи могут делиться файлами, в том числе изображениями, документами, ссылками и т. д. Зайти в Share Sheet можно из различных приложений — например, из «Фотографий». Для этого пользователю нужно действовать так, как будто он собирается поделиться фотографией с другими пользователями. Зайдя в Share Sheet, нужно выбрать WhatsApp в списке приложений, кликнув на нем. После этого произойдет переход с экрана Share Sheet на экран WhatsApp, во время которого мессенджер должен попросить пользователя подтвердить свою личность через FaceID или TouchID, но такой запрос не поступает. Чтобы получить доступ к чатам, нужно вернуться на домашний экран iOS и напрямую открыть WhatsApp — подтверждение личности мессенджер не запросит. Ошибка возникает только в том случае, если в WhatsApp выставлен срок блокировки продолжительностью одна минута, 15 минут или один час. Если же выставлена опция немедленной блокировки, воспользоваться уязвимостью не удастся. Биометрическая аутентификация в WhatsApp Ранее в этом месяце в приложении WhatsApp для iOS появилась возможность аутентификации пользователя через Face ID или Touch ID. Функция была запущена в версии WhatsApp 2.19.20. При запуске мессенджера пользователя просят подтвердить свою личность через Face ID, Touch ID или с помощью ранее установленного пароля.
Найден способ обойти биометрическую аутентификацию WhatsApp Защитить таким образом можно только весь WhatsApp сразу — поставить блокировку на отдельный чат не получится. Для активации функции следует пройти в «Настройки» — «Учетная запись» — «Конфиденциальность» — «Блокировка экрана» и выбрать промежуток времени, по истечении которого мессенджер будет блокироваться. Без подтверждения личности можно просматривать только уведомления на экране блокировки iPhone и отправлять быстрые ответы на сообщения. Показ уведомлений можно запретить, пройдя в «Настройки» — «Уведомления» — «Показ миниатюр» и отметив вариант «Никогда».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.