O WhatsApp inverte o IMEI e aplica nele uma rotina de cálculo, conhecida como "MD5" – um algoritmo pronto que pode ser facilmente duplicado. Não é utilizada nenhuma criptografia. Já o "usuário" utilizado pelo WhatsApp na autenticação é o próprio número do celular, o que é ainda mais fácil de descobrir.
Qualquer aplicativo instalado no Android que tenha acesso ao IMEI pode capturá-lo, dando ao criador do app o acesso às mensagens WhatsApp. Granger também teme que, no iOS, o código UDID seja utilizado em vez do IMEI. Se esse for o caso, usuários que tiveram o UDID vazado na web estariam em risco.
Ganger disse que conseguiu ler e enviar mensagens de amigos que lhe deram a permissão para testar a descoberta.
O WhatsApp costumava ser criticado por enviar mensagens que podiam ser facilmente lidas em redes sem fio públicas. As versões mais novas do software criptografam as mensagens para evitar a prática.
De acordo com Ganger, o WhatsApp já modificou a forma que realiza a autenticação do celular. No entanto, ele disse que "não mudou muito" e não informou detalhes sobre como o aplicativo estaria realizando o procedimento.
Nenhum comentário:
Postar um comentário