WhatsApp utiliza números IMEI como contraseñas

Vulnerabilidad en WhatsApp

Según el desarrollador Sam Granger, la popular aplicación de mensajería nultiplataforma WhatsApp estaría utilizando el hash MD5 del número IMEI invertido de cada dispositivo móvil como contraseña para transferir y almacenar la información de sus usuarios. Lo que facilitaría aún mas un ataque mediante este software ya que tanto el nombre de usuario (tu número telefónico) y el IMEI son dos datos faciles de obtener de modo manual así como automatizado haciendo uso de software malicioso creado específicamente para recolectar esta información.

Algúnos de los posibles escenarios de ataque que detalla Granger son:

  • Un individio con acceso directo al telefono de la victima, que marcando *#06# en la mayoría de los casos podría ver el número IMEI.
  • Una aplicación que silenciosamente envía el número de telefono e IMEI a un servidor malicioso para su posterior uso.
  • Un atacante publica una base de datos con números de IMEI asociados a sus correspondientes números telefónicos,
  • Un spammer compra esta información a un desarrollador de aplicaciones que ya posea la misma.

Para mas información y detalles técnicos además de algunos ejemplos sobre como obtener estos datos les recomiendo leer la nota de Sam Granger (en inglés) en su blog:

WhatsApp is using IMEI numbers as passwords
http://samgranger.com/whatsapp-is-using-imei-numbers-as-passwords/

Vía @JavierPallero