Desde su nacimiento y gran aceptación por parte de sus usuarios, WhatsApp ha tenido graves problemas de seguridad. Con cada actualización de la herramienta, la han hecho cada vez más segura. Hasta hace muy poco, ni siquiera las conversaciones eran cifradas, se mandaban en texto plano. Pero fue solucionado con la última versión de WhatsApp tal y como os informamos aquí. Recientemente, se ha descubierto también una vulnerabilidad en su propio sitio web que podría ser utilizada para el envío de malware. Pero lo verdaderamente importante ahora, es que las contraseñas que utiliza WhatsApp para autenticarnos en el servicio, se basan en patrones muy rudimentarios.
A continuación tenéis más información.
En los sistemas operativos Android, WhatsApp utiliza el número de teléfono como usuario, y la clave es un simple hash MD5 con el IMEI del teléfono leído de derecha a izquierda. Por tanto, con esta información, si tenemos acceso al móvil de nuestra víctima y vemos su IMEI, podríamos acceder fácilmente a los servidores de WhatsApp intercambiados por la víctima.
También se podrían crear aplicaciones específicas que exploten esta vulnerabilidad, como ya ocurrió con WhatsApp Sniffer cuando las conversaciones no estaban cifradas.
Sin embargo, la forma de autenticación en iOS es todavía más sencilla ya que cogemos la MAC de la interfaz WiFi y le pasamos un hash MD5. Según la fuente tan sólo necesitaríamos el número de teléfono del usuario, y la contraseña generada para tener acceso. Lo grave de esto es que la MAC del WiFi es pública y la podemos ver mas fácilmente que el IMEI como ocurre en Android.
Cuando tenemos una aplicación que es usada por millones de personas, los hackers se suelen centrar en ellas para explotar vulnerabilidades. WhatsApp debería plantearse en serio su seguridad, ya que como hemos visto anteriormente, brilla por su ausencia.