lunes, 24 de septiembre de 2012

Seguridad en WhatsApp


    WhatsApp es una aplicación que ha ganado popularidad en smartphones proporcionando un metodo "gratuíto" para enviar y recibir mensajes via web.

    Curioseando por reddit encontré ciertos enormes problemas de seguridad en esta aplicación...
    Al parecer hasta agosto de 2012 los mensajes enviados via WhatsApp no estaban encriptados de ninguna manera, de forma que cualqueira podía ver su contenido en texto plano y incluso ver las transferencias de datos esnifando cualquier red publica.
    Aúnque la compañía actualizó WhatsApp encriptando las transferencias parece que este sistema no es del todo seguro:
    El usuario jabber de las cuentas WhatsApp es siempre el numero de telefono, que continúa transfiriendose en texto plano.
    La contraseña es, en caso de las plataformas android el inverso del hash md5 del número IMEI:

$imei = "112222223333334"; //  IMEI
$androidWhatsAppPassword = md5(strrev($imei)); //  IMEI y calculo de md5 hash

    Peor aún en las plataformas iOS como iphone, la contraseña se genera a partir de la MAC del dispositivo:

$wlanMAC = "AA:BB:CC:DD:EE:FF"; // ejemplo de dirección WLAN MAC
$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); 

Calcula la contraseña concatenando dos veces la dirección MAC... impresionante seguridad.

Existen APIs para usar whatsApp desde un ordenador cualquiera, aqui una clase en PHP para que cualqueira pueda hacerse su cliente de whatsApp

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)