terça-feira, 11 de setembro de 2012

ALERTA: WhatsApp usa IMEI de celulares como senha.



O desenvolvedor Sam Granger analisou o aplicativo de mensagens WhatsApp para Android e descobriu que o software utiliza o IMEI do telefone – um número que identifica cada aparelho celular quase que unicamente. O especialista observou que a prática torna o WhatsApp pouco seguro, porque o IMEI pode ser obtido discando " *#06#" em quase todos os celulares.

O WhatsApp inverte o IMEI e aplica nele uma rotina de cálculo, conhecida como "MD5" – um algoritmo pronto que pode ser facilmente duplicado. Não é utilizada nenhuma criptografia. Já o "usuário" utilizado pelo WhatsApp na autenticação é o próprio número do celular, o que é ainda mais fácil de descobrir.

Qualquer aplicativo instalado no Android que tenha acesso ao IMEI pode capturá-lo, dando ao criador do app o acesso às mensagens WhatsApp. Granger também teme que, no iOS, o código UDID seja utilizado em vez do IMEI. Se esse for o caso, usuários que tiveram o UDID vazado na web estariam em risco.
Ganger disse que conseguiu ler e enviar mensagens de amigos que lhe deram a permissão para testar a descoberta.

O WhatsApp costumava ser criticado por enviar mensagens que podiam ser facilmente lidas em redes sem fio públicas. As versões mais novas do software criptografam as mensagens para evitar a prática.
De acordo com Ganger, o WhatsApp já modificou a forma que realiza a autenticação do celular. No entanto, ele disse que "não mudou muito" e não informou detalhes sobre como o aplicativo estaria realizando o procedimento.

Nenhum comentário: