O desenvolvedor Sam Granger analisou o aplicativo de mensagens WhatsApp
para Android e descobriu que o software utiliza o IMEI do telefone – um
número que identifica cada aparelho celular quase que unicamente. O
especialista observou que a prática torna o WhatsApp pouco seguro,
porque o IMEI pode ser obtido discando " *#06#" em quase todos os
celulares.
O WhatsApp inverte o IMEI e aplica nele uma rotina de cálculo,
conhecida como "MD5" – um algoritmo pronto que pode ser facilmente
duplicado. Não é utilizada nenhuma criptografia. Já o "usuário"
utilizado pelo WhatsApp na autenticação é o próprio número do celular, o
que é ainda mais fácil de descobrir.
Qualquer aplicativo instalado no Android que tenha acesso ao IMEI pode
capturá-lo, dando ao criador do app o acesso às mensagens WhatsApp.
Granger também teme que, no iOS, o código UDID seja utilizado em vez do
IMEI. Se esse for o caso, usuários que tiveram o UDID vazado na web estariam em risco.
Ganger disse que conseguiu ler e enviar mensagens de amigos que lhe deram a permissão para testar a descoberta.
O WhatsApp costumava ser criticado por enviar mensagens que podiam ser
facilmente lidas em redes sem fio públicas. As versões mais novas do
software criptografam as mensagens para evitar a prática.
De acordo com Ganger, o WhatsApp já modificou a forma que realiza a
autenticação do celular. No entanto, ele disse que "não mudou muito" e
não informou detalhes sobre como o aplicativo estaria realizando o
procedimento.
Nenhum comentário:
Postar um comentário