Apple не смогла защитить чаты WhatsApp
Ошибка закралась в алгоритм обмена файлами и ссылками на iOS. Чтобы воспроизвести уязвимость, необходимо выполнить несколько простых действий. Сначала попробовать чем-нибудь поделиться: это может быть фото в галерее, документ или ссылка — главное, чтобы открылся выбор приложения для отправки. Затем выбрать иконку WhatsApp, и система, скорее всего, не спросит у пользователя аутентификацию FaceID или TouchID. Даже если это произойдет, достаточно снова нажать на иконку мессенджера несколько раз.
Слева — окно отправки фото, справа — сообщение о блокировке WhatsApp
Затем можно просто вернуться на стартовый экран смартфона, выбрать WhatsApp и запустить приложение без аутентификации. Способ работает, если не установлена мгновенная блокировка доступа к приложению. Уязвимость опасна только для разблокированного телефона, но при этом она полностью дискредитирует саму идею дополнительного уровня защиты. В случае если злоумышленник имеет возможность получить доступ к телефону, экран которого не заблокирован, он беспрепятственно прочтет сообщения.
Функция защиты отдельных приложений паролем или биометрическим идентификатором достаточно популярна среди пользователей Android. Многие прошивки позволяют гибко настраивать защиту каждой программы индивидуально. Опция блокировки WhatsApp и доступа к мессенджеру по отпечатку пальца либо лицу пользователя появилась 3 февраля 2019 года и уже несколько раз обновлялась. Комментариев от Apple или разработчиков приложения по поводу новой уязвимости пока что не поступало.
