WhatsApp хранит коды для 2FA в открытом виде.
Коды видны на устройствах, чьи владельцы имеют на них права суперпользователя.
Согласно сообщениям пользователей Twitter, WhatsApp хранит коды безопасности для двухфакторной аутентификации в незашифрованном виде (на iOS-устройствах в /var/mobile/Containers/Data/Application/Whatsapp/Library, на Android-устройствах в /data/data/app/com.whatsapp/sharedprefs/com.whatsapppreferences.xml).
Текстовый файл с кодом хранится в песочнице, поэтому другие приложения не могут получить к нему доступ. К тому же, копия файла не сохраняется в обычных резервных копиях WhatsApp. С другой стороны, коды видны на Android-устройствах, чьи владельцы имеют на них права суперпользователя. То есть, у приложений с привилегиями суперпользователя есть доступ к файлу с кодом. В iOS также могут быть уязвимости, позволяющие сторонним приложениям получать доступ к файлу, поэтому разработчикам WhatsApp стоит зашифровать его во избежание возможных негативных последствий.
Коды видны на устройствах, чьи владельцы имеют на них права суперпользователя.
Согласно сообщениям пользователей Twitter, WhatsApp хранит коды безопасности для двухфакторной аутентификации в незашифрованном виде (на iOS-устройствах в /var/mobile/Containers/Data/Application/Whatsapp/Library, на Android-устройствах в /data/data/app/com.whatsapp/sharedprefs/com.whatsapppreferences.xml).
Текстовый файл с кодом хранится в песочнице, поэтому другие приложения не могут получить к нему доступ. К тому же, копия файла не сохраняется в обычных резервных копиях WhatsApp. С другой стороны, коды видны на Android-устройствах, чьи владельцы имеют на них права суперпользователя. То есть, у приложений с привилегиями суперпользователя есть доступ к файлу с кодом. В iOS также могут быть уязвимости, позволяющие сторонним приложениям получать доступ к файлу, поэтому разработчикам WhatsApp стоит зашифровать его во избежание возможных негативных последствий.
Twitter
WABetaInfo
A user has recently discovered that WhatsApp stores the 2FA passcode in plain text in a file in their sandbox. Being into the sandbox, no other apps can read that file, but there are some cases (in particular the second one) that should force to encrypt the…
Памятные даты: 26 марта 🍻
Некоммерческая организация Apache Software Foundation празднует своё 21-летие.
Одновременно отмечается 25 лет HTTP-серверу Apache httpd, 21 год офисному пакету Apache OpenOffice и 20 лет Apache Jakarta, Subversion и Tomcat.
Больше it-дат и праздников в ленте?
Некоммерческая организация Apache Software Foundation празднует своё 21-летие.
Одновременно отмечается 25 лет HTTP-серверу Apache httpd, 21 год офисному пакету Apache OpenOffice и 20 лет Apache Jakarta, Subversion и Tomcat.
Больше it-дат и праздников в ленте?
This media is not supported in your browser
VIEW IN TELEGRAM
Жена устала от того, что компьютеру уделяется больше времени. Помянем. Это был токсичный брак.
К счастью, можно заменить кабели ... и жену.
К счастью, можно заменить кабели ... и жену.
Неизвестный похитил исходный код графических процессоров AMD Arden и Big Navi и пытался продать его за $100 млн
AMD заявила о похищении интеллектуальной собственности с последующим размещением её в интернете. Вскоре ресурс Torrentfreak сообщил, что украденная информация относится к исходному коду для графических процессоров Big Navi и Arden. Torrentfreak утверждает, что связался с хакером, ответственным за кражу данных, который просит за них $100 млн.
AMD подала две жалобы DCMA (закон об авторском праве в цифровую эпоху) в отношении репозиториев Github, содержащих украденный код графических процессоров Navi 10, Navi 21 и Arden. Последние два вызывают особый интерес, поскольку Arden должен обеспечить работу будущих консолей Microsoft Xbox Series X, а Navi 21 – это новейшая разработка на базе архитектуры RDNA 2, которая ляжет в основу флагманских видеокарт Radeon.
Github сразу же убрал репозитории, но остались другие источники, в том числе 4chan, где была размещена информация. Похититель говорит, что обнаружил исходные коды AMD Navi GPU на взломанном компьютере одного из сотрудников, скачал незашифрованные данные и теперь пытается продать их за $100 млн. Если покупатель не найдётся, он обещает опубликовать весь исходный код, но файлы будут защищены паролями, которые будут доступны только определённым лицам.
По словам AMD, в декабре 2019 года к ним обратился человек, который утверждал, что у него есть тестовые файлы, относящиеся к множеству текущих и будущих продуктов компании. Некоторые из них были размещены в интернете, но затем удалены по запросу AMD.
AMD заявила о похищении интеллектуальной собственности с последующим размещением её в интернете. Вскоре ресурс Torrentfreak сообщил, что украденная информация относится к исходному коду для графических процессоров Big Navi и Arden. Torrentfreak утверждает, что связался с хакером, ответственным за кражу данных, который просит за них $100 млн.
AMD подала две жалобы DCMA (закон об авторском праве в цифровую эпоху) в отношении репозиториев Github, содержащих украденный код графических процессоров Navi 10, Navi 21 и Arden. Последние два вызывают особый интерес, поскольку Arden должен обеспечить работу будущих консолей Microsoft Xbox Series X, а Navi 21 – это новейшая разработка на базе архитектуры RDNA 2, которая ляжет в основу флагманских видеокарт Radeon.
Github сразу же убрал репозитории, но остались другие источники, в том числе 4chan, где была размещена информация. Похититель говорит, что обнаружил исходные коды AMD Navi GPU на взломанном компьютере одного из сотрудников, скачал незашифрованные данные и теперь пытается продать их за $100 млн. Если покупатель не найдётся, он обещает опубликовать весь исходный код, но файлы будут защищены паролями, которые будут доступны только определённым лицам.
По словам AMD, в декабре 2019 года к ним обратился человек, который утверждал, что у него есть тестовые файлы, относящиеся к множеству текущих и будущих продуктов компании. Некоторые из них были размещены в интернете, но затем удалены по запросу AMD.
Бесплатный онлайн-практикум DevOps by Rebrain: NGINX”
Регистрация - https://clck.ru/MhKQi
Количество мест ограничено! Успевайте зарегистрироваться.
Время проведения:
31 Марта (Вторник) в 19:00 по МСК
Что будет на практикуме?
🔹Ликбез по TLS - получаем бесплатный сертификат
🔹Важные параметры proxy_pass
🔹Мониторим upstream сервера
🔹Выносим логику приложения на nginx с помощью LUA
Кто ведет?
Василий Озеров - основатель агентства Fevlake (fevlake.com) и действующий Devops-инженер (опыт в Devops 8 лет). Регулярно выступает на RootConf, DevOpsConf Russia, HighLoad.
Открытые еженедельные DevOps практикумы - https://rebrainme.com/channel
Присоединяйтесь!
Регистрация - https://clck.ru/MhKQi
Количество мест ограничено! Успевайте зарегистрироваться.
Время проведения:
31 Марта (Вторник) в 19:00 по МСК
Что будет на практикуме?
🔹Ликбез по TLS - получаем бесплатный сертификат
🔹Важные параметры proxy_pass
🔹Мониторим upstream сервера
🔹Выносим логику приложения на nginx с помощью LUA
Кто ведет?
Василий Озеров - основатель агентства Fevlake (fevlake.com) и действующий Devops-инженер (опыт в Devops 8 лет). Регулярно выступает на RootConf, DevOpsConf Russia, HighLoad.
Открытые еженедельные DevOps практикумы - https://rebrainme.com/channel
Присоединяйтесь!
