WhatsApp bietet unter iOS seit kurzer Zeit die Möglichkeit, die App vor unbefugten Zugriffen zu schützen. Man kann einstellen, dass immer oder nach einer bestimmten Zeit die Verifizierung durch den Nutzer via Touch ID oder Face ID (alternativ durch Code-Eingabe) nötig ist, um Zugang zur App zu erhalten. WhatsApp hat bei der Implementierung der Funktion aber nicht ganz sauber gearbeitet, sodass sich dieser Schutz recht einfach umgehen lässt.
Auf der sicheren Seite ist man, wenn man die Abfrage von Touch ID oder Face ID auf „sofort“ stellt, dann funktioniert der Trick nicht. Stellt man aber eine längere Zeit ein, lässt sich die Abfrage umgehen. Dazu nutzt man einfach das Share Sheet in einer anderen App. Am einfachsten lässt sich das mit der Fotos-App erklären.
Man wählt ein Foto aus und ruft den Teilen-Dialog auf. Dort wählt man dann WhatsApp. Kommt nun eine Abfrage nach Touch ID / Face ID, bricht man den Vorgang ab und wiederholt ihn einfach. Im zweiten Anlauf sollte dann keine Abfrage kommen – das wiederum ist das gewünschte Ziel zur Ausnutzung des Bugs. Kommt die Kontaktauswahl von WhatsApp, ist man bereits am Ziel.
Die Fotos-App kann man nun wieder verlassen. Öffnet man WhatsApp nun ganz normal, erscheint keine Abfrage von Touch ID / Face ID, sondern man ist direkt in der App. Zu keinem Zeitpunkt wurde hier dann ein Code abgefragt, quasi als wäre die Zugangssperre nicht existent. Verifiziert haben wir das in den Versionen 2.19.30.8 und 2.19.30.13 (jeweils Beta).
Also, falls Ihr die Zugangssperre effektiv nutzen wollt, stellt den Abfrage-Timer auf „sofort“, dann funktioniert der Bug nicht.