De populaire sms-app WhatsApp voerde eind augustus versleuteling in. De Britse webontwikkelaar Sam Granger geeft nu uitleg over de manier waarop de authenticatie onder Android bij het webfront-end verloopt: de applicatie maakt gebruik van het IMEI-nummer en maakt daarmee een eenvoudig nieuw genereerbare sleutel aan.
Volgens Granger gebruikt WhatsApp alleen het omgedraaide IMEI en genereert de app daarmee zonder verdere ‘Salt‘ een MD5-hash. Omdat het telefoonnummer dienst doet als gebruikersnaam, zouden aanvallers de benodigde data makkelijk met normale Android-interfaces kunnen achterhalen. Een programma voor het bepalen van het IMEI en het telefoonnummer is volgens de Brit snel te schrijven en onder valse voorwendselen ook in Google Play te krijgen.
Verder vervolgt de onderzoeker met het feit dat de WhatsApp-services met deze toegangsgegevens kunnen worden gebruikt. Er is geen officiële API, maar op internet is software te vinden waarmee je toegang kunt krijgen tot de WhatsApp-webservices. Daarmee is het mogelijk om berichten te versturen die van de gebruiker van het gekraakte account afkomstig zouden zijn.
Tot dusver is niet bekend hoe WhatsApp de authentificatie op andere platforms uitvoert. Apples iOS heeft vergeleken met Android bijvoorbeeld geen officiële interface waarmee je het IMEI kunt achterhalen. Het telefoonnummer, oftewel de gebruikersnaam, wordt overigens nog steeds als pure tekst verzonden.
WhatsApp gebruikt voor het uitwisselen van berichten een variant van het XMP-protocol dat veel instant messengers ondersteunen. De app draait op alle relevante mobiele platforms.
