WhatsApp rullar ut en ny uppdatering till sin iOS-klient, för att patcha en funktion som kan vara sårbar för utnyttjande senare. Detta handlar mer specifikt om lagring av 2FA-kod, där WhatsApp lagrar den i en fil i en privat katalog i WhatsApp. Även om det var i en miljö med sandlåde, kunde det nås av motståndare genom att utnyttja alla nolldagsbuggar som hittats i framtiden.
WhatsApp korrigerar ett befintligt iOS-fel
Förra året såg en iOS-användare att WhatsApp lagrar tvåfaktorsautentiseringskoden i klartext i en privat katalogfil för WhatsApp. Eftersom den är privat som en sandlådemiljö är den säker och hindrar externa appar från att komma åt den. Men detta är fortfarande ett problem. Alla framtida nolldagars utnyttjande kan låta hackare komma åt den här koden, och bör därför säkras.
Och för att skydda detta har WhatsApp rullat ut en ny uppdatering (v2.21.80) till sin iOS-klient för att justera detta fel. Den är tillgänglig för betatestare i TestFlight och kommer snart att finnas tillgänglig för alla iOS-användare via Appstore. Genom att installera detta kommer WhatsApp nu att undvika att lagra 2FA-koden i sin privata katalog och gör det istället på iOS Nyckelring.
En iOS-nyckelring är en plats som tillhandahålls av Apple för utvecklare att lagra sina känsliga data säkert. Därför är det säkrare nu. Även om en motståndare som erhåller den här koden omöjligen kunde bryta mot användarens WhatsApp-konto, eftersom de också behöver en extra kod skickad via SMS av WhatsApp.
Ändå kan detta potentiellt vara en andra-stegsattack om hackaren lyckas få SMS-koden i första hand. Att säkra det är därför nära förestående. Medan vi förväntade oss att WhatsApp skulle rulla den här patchuppdateringen långt tillbaka, försenade den den av okända anledningar. Det bör också noteras att det inte krävs någon sådan uppdatering för Android-versionen.