Een tipgever van GeenStijl ontdekte een manier om de controle te omzeilen. Ondanks dat deze tipgever volgens het weblog Whatsapp drie keer heeft geprobeerd op de hoogte stellen van zijn ontdekken, werden er geen maatregelen genomen.

Bij het installeren van Whatsapp wordt de gebruiker gevraagd zijn mobiele nummer in te voeren om zo het account aan de mobiele telefoon te kunnen koppelen. Om dit te controleren wordt er vanaf de telefoon een controlebericht gestuurd. Als Whatsapp kan verifiëren dat het bericht is aangekomen, is de registratie voltooid.

<\br> De tipgever ontdekte echter dat er een fout in die procedure zit die kan worden misbruikt. Als iemand namelijk geen beltegoed meer heeft en geen bereik heeft, dan wordt het sms-bericht niet verzonden. Dit bericht is echter wel bereikbaar op de telefoon. Door vervolgens het bericht via een online sms-dienst te versturen en daarbij het mobiele nummer van iemand anders als afzender te gebruiken, kan Whatsapp worden gekoppeld aan het account van een andere gebruiker.

Diverse tweakers hebben inmiddels hun ervaringen op het forum gedeeld over deze hack en de werking ervan bevestigd. Een van deze gebruikers stelt dat de applicatie na het spoofen niet meer functioneert op de telefoon van de gespoofde gebruiker.

Eerder al meldde beveiligingsonderzoeker ObAt aan Tweakers.net dat door op een netwerk het netwerkverkeer mee te lezen de berichten van Whatsapp onderschept kunnen worden en dat hierbij ook de gebruikersnaam en het wachtwoord te zien zijn. Hij kwam hier achter tijdens zijn onderzoek naar de dpi-praktijken van KPN. Tijdens diezelfde zoektocht ontdekte hij ook dat de website van Hi een beveiligingsfout bevatte.

 

Bron: Tweakers.net