Дырявый WhatsApp, или Ваш номер известен каждому

Суперпопулярное приложение для отправки мгновенных сообщений пользователям смартфонов на разных платформах Whatsapp уже очень долгое время занимает лидирующие позиции в магазинах приложений для iOS и Android-девайсов. Неудивительно, если учитывать, что ежедневно через Whatsapp отправляется до миллиарда сообщений, а приложение уверенно держится в топ-3 платных приложений. Да я и сам, если честно, пока ходил с Galaxy S III, часто пользовался сервисом, чтобы поддерживать связь с друзьями и коллегами — Whatsapp помогает значительно сэкономить на SMS.

Такого мнения придерживается и огромное количество остальных пользователей Whatsapp. Однако мало кто знает, что с безопасностью и защищенностью отправляемых сообщений дела обстоят далеко не так хорошо, как должны.

До августа 2012 года сообщения, отправляемые через Whatsapp вообще не были зашифрованы, текст отправлялся «как есть». Используя Whatsapp в общественной Wi-Fi сети, каждый технически подготовленный желающий мог перехватить ваши входящие и исходящие сообщения (включая передачу файлов), что не очень-то и приятно, согласитесь. Разработчики уверенно заявляют, что в новой версии приложения сообщения теперь шифруются, правда как и насколько надежно тактично умалчивается.

Сделано, судя по всему, было не так и много. Whatsapp так и остался дырявым и незащищенным.

Телефонный номер пользователя так и передается незашифрованным. А аутентификация! Оцените элегантность решения — на Android, например, паролем является IMEI-номер смартфона, написанный в обратном порядке:

$imei = "112222223333334"; // example IMEI
$androidWhatsAppPassword = md5(strrev($imei)); // reverse IMEI and calculate md5 hash

Рано назвать Android непечатными выражениями непечатного характера — на iOS-устройствах все тоже не так здорово. Например, тот же самый пароль — это MAC-адрес локальной Wi-Fi сети:

$wlanMAC = "AA:BB:CC:DD:EE:FF"; // example WLAN MAC address
$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); // calculate md5 hash using the MAC address twice

Юзернейм — это ваш телефонный номер, который, как я уже упомянул чуть выше, передается в незашифрованном виде. Таким образом у негодяя-злоумышленника оказываются все ключи для того, чтобы начать свою деятельность.

Продолжить разбор дыр Whatsapp можно, и это у нас с вами займет очень много времени, благо информации по интернетам предостаточно, однако уже будучи ознакомленными с вышеописанным, стоит призадуматься — а стоит ли вообще пользоваться приложением, разработчикам которого абсолютно наплевать на вас, пользователей? У меня есть iMessage, чего и вам желаю.