Спецпроекты

«Дыра» в WhatsApp для iPhone позволяет кому угодно читать чужие сообщения

26725
Безопасность Пользователю Техника

В WhatsApp найдена уязвимость, с помощью которой можно обойти механизм биометрической аутентификации, недавно появившийся в версии мессенджера для iOS. Для этого достаточно поделиться каким-нибудь файлом через инструмент Share Sheet.

Уязвимость в WhatsApp

В WhatsApp обнаружена уязвимость, которая позволяет просматривать чаты, не подтвердив личность пользователя. Она присутствует в версии мессенджера для iOS, в которой недавно стала возможна биометрическая аутентификация по лицу или отпечатку пальца непосредственно перед получением доступа к переписке. Найденный баг как раз и позволяет избежать процедуры биометрической аутентификации.

Описание уязвимости представил пользователь Reddit с никнеймом de_X_ter. Как известно, в iOS есть инструмент Share Sheet, с помощью которого пользователи могут делиться файлами, в том числе изображениями, документами, ссылками и т. д. Зайти в Share Sheet можно из различных приложений — например, из «Фотографий». Для этого пользователю нужно действовать так, как будто он собирается поделиться фотографией с другими пользователями.

Зайдя в Share Sheet, нужно выбрать WhatsApp в списке приложений, кликнув на нем. После этого произойдет переход с экрана Share Sheet на экран WhatsApp, во время которого мессенджер должен попросить пользователя подтвердить свою личность через FaceID или TouchID, но такой запрос не поступает. Чтобы получить доступ к чатам, нужно вернуться на домашний экран iOS и напрямую открыть WhatsApp — подтверждение личности мессенджер не запросит.

Ошибка возникает только в том случае, если в WhatsApp выставлен срок блокировки продолжительностью одна минута, 15 минут или один час. Если же выставлена опция немедленной блокировки, воспользоваться уязвимостью не удастся.

Биометрическая аутентификация в WhatsApp

Ранее в этом месяце в приложении WhatsApp для iOS появилась возможность аутентификации пользователя через Face ID или Touch ID. Функция была запущена в версии WhatsApp 2.19.20. При запуске мессенджера пользователя просят подтвердить свою личность через Face ID, Touch ID или с помощью ранее установленного пароля.

Найден способ обойти биометрическую аутентификацию WhatsApp

Защитить таким образом можно только весь WhatsApp сразу — поставить блокировку на отдельный чат не получится. Для активации функции следует пройти в «Настройки» — «Учетная запись» — «Конфиденциальность» — «Блокировка экрана» и выбрать промежуток времени, по истечении которого мессенджер будет блокироваться.

Без подтверждения личности можно просматривать только уведомления на экране блокировки iPhone и отправлять быстрые ответы на сообщения. Показ уведомлений можно запретить, пройдя в «Настройки» — «Уведомления» — «Показ миниатюр» и отметив вариант «Никогда».



Технология месяца

6G перебьет аппетит к 5G?

Сети 6G, как ожидают аналитики, начнут появляться уже через пять-десять лет.

Взгляд месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»