Описание уязвимости представил пользователь Reddit с никнеймом de_X_ter. Как известно, в iOS есть инструмент Share Sheet, с помощью которого пользователи могут делиться файлами, в том числе изображениями, документами, ссылками и т. д. Зайти в Share Sheet можно из различных приложений — например, из «Фотографий». Для этого пользователю нужно действовать так, как будто он собирается поделиться фотографией с другими пользователями.
Зайдя в Share Sheet, нужно выбрать WhatsApp в списке приложений, кликнув на нем. После этого произойдет переход с экрана Share Sheet на экран WhatsApp, во время которого мессенджер должен попросить пользователя подтвердить свою личность через FaceID или TouchID, но такой запрос не поступает. Чтобы получить доступ к чатам, нужно вернуться на домашний экран iOS и напрямую открыть WhatsApp — подтверждение личности мессенджер не запросит.
Ошибка возникает только в том случае, если в WhatsApp выставлен срок блокировки продолжительностью одна минута, 15 минут или один час. Если же выставлена опция немедленной блокировки, воспользоваться уязвимостью не удастся.
Биометрическая аутентификация в WhatsAppРанее в этом месяце в приложении WhatsApp для iOS появилась возможность аутентификации пользователя через Face ID или Touch ID. Функция была запущена в версии WhatsApp 2.19.20. При запуске мессенджера пользователя просят подтвердить свою личность через Face ID, Touch ID или с помощью ранее установленного пароля.
Найден способ обойти биометрическую аутентификацию WhatsApp