21 февраля 2019. В WhatsApp найдена уязвимость, позволяющая читать чужие сообщения. Она присутствует в версии мессенджера для iOS. Этот баг позволяет перехитрить механизм биометрической аутентификации, недавно запущенный в версии WhatsApp (12+) для iOS.
Чтобы предоставить доступ к своей переписке, неосторожному пользователю достаточно поделиться каким-нибудь файлом через Share Sheet (12+). При переходе с экрана Share Sheet на экран WhatsApp мессенджер должен запросить подтверждение личности через FaceID или TouchID, но такой запрос не поступает.
Уязвимость срабатывает в тех ситуациях, когда на WhatsApp установлена блокировка длительностью одна минута, 15 минут или один час. Если поставлена опция немедленной блокировки, воспользоваться уязвимостью хакерам не удастся.
Защитить таким образом можно только весь WhatsApp сразу — поставить блокировку на отдельный чат не удастся. Для активации функции следует пройти в "Настройки" — "Учетная запись" — "Конфиденциальность" — "Блокировка экрана" и выбрать период времени, по завершении которого мессенджер будет блокироваться.
Без подтверждения личности можно просматривать только уведомления на экране блокировки iPhone и отправлять быстрые ответы на сообщения. Показ уведомлений можно запретить, пройдя в "Настройки" — "Уведомления" — "Показ миниатюр" и отметив вариант "Никогда".
Герман Штакеншнейдер