Буквально несколько дней назад, в феврале 2019 года в iOS-версии популярного чат-сервиса WhatsApp появилась поддержка биометрической аутентификации, позволив владельцам iPhone 8 и более старых моделей использовать Touch ID, а пользователям iPhone X, XS и XR – Face ID для доступа к чатам. Как оказалось, благодаря ошибке в приложении биометрическую аутентификацию можно легко обойти.
Сделать это очень просто – нужно лишь поделиться каким-нибудь файлом через инструмент Share Sheet. Зайти в Share Sheet можно из различных приложений – например, из «Фотографий». Для этого пользователю нужно действовать так, как будто он собирается поделиться фотографией с другими пользователями.
Инструкция по обходу биометрии: зайдя в Share Sheet, нужно выбрать WhatsApp в списке приложений, кликнув на нем. После этого произойдет переход с экрана Share Sheet на экран WhatsApp, во время которого мессенджер должен попросить пользователя подтвердить свою личность через FaceID или TouchID, но такой запрос не поступает. Далее, чтобы получить доступ к чатам, нужно вернуться на домашний экран iOS и напрямую открыть WhatsApp – и вновь подтверждение личности мессенджер не запросит.
Любопытно, что этот баг возникает только в том случае, если в WhatsApp выставлен срок блокировки продолжительностью одна минута, 15 минут или один час. Если включена опция немедленной блокировки, воспользоваться уязвимостью не удастся.