Ще в 2017 році WhatsApp отримав механізм двофакторної аутентифікації, покликаний забезпечити додатковий рівень безпеки для мільйонів користувачів месенджера. Однак, як виявилося недавно, в реалізації цього механізму є серйозний недолік.

Згідно з повідомленнями користувачів Twitter, WhatsApp зберігає коди безпеки для двофакторної аутентифікації в незашифрованому вигляді (на iOS-пристроях в /var/mobile/Containers/Data/Application/Whatsapp/Library, на Android-пристроях в /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml).

Текстовий файл з кодом зберігається в пісочниці, тому інші програми не можуть отримати до нього доступ. До того ж, файл не зберігається в звичайних резервних копіях WhatsApp. З іншого боку, коди видно на Android-пристроях, чиї власники мають на них права суперкористувача. Тобто, у додатків з привілеями суперкористувача є доступ до файлу з кодом. В iOS також можуть бути уразливості, що дозволяють стороннім додаткам отримувати доступ до файлу, тому розробникам WhatsApp варто зашифрувати його, щоб уникнути можливих негативних наслідків.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Нагадаємо, використовуючи реквізити платіжних карток громадян інших держав, зловмисник купував товари в Інтернет-магазинах. Далі продавав їх у соціальних мережах українцям.

Окрім цього, прогалини в безпеці знайдені в продуктах Amazon, Apple, Google, Samsung, Raspberry, Xiaomi, а також точках доступу від Asus і Huawei.

До речі, рекламні агенції, що надавали послуги з розміщення реклами, в тому числі на сайтах онлайн-кінотеатрів, своєю діяльністю забезпечували функціонування ресурсів з піратським контентом.

Також довгий час більшість користувачів вважали, що загроз для Linux значно менше, ніж для Windows чи macOS. Однак останнім часом комп’ютерні системи та додатки на базі цієї операційної системи все частіше стають об’єктами атак кіберзлочинців.