Para utilizar WhatsApp tras instalarlo no es necesario registrarse ni seguir complicados procesos de autentificación. La aplicación registra automáticamente al usuario, generando un nombre y contraseña únicos, que comunica a los servidores de WhatsApp al inicio de cada sesión.

El nombre de usuario no es más que el número de teléfono y la clave es el MD5 (http://es.wikipedia.org/wiki/MD5) invertido (puesto al revés) del IMEI (http://es.wikipedia.org/wiki/IMEI) del teléfono.

Sabiendo esto, es relativamente fácil conseguir acceso al API de los servidores de WhatsApp para ver los mensajes intercambiados por la víctima, si tenemos acceso físico a su móvil (hay que marcar *#06# para ver el IMEI). A partir de ahí, generar su MD5 e invertirlo es cosa de niños (http://md5-hash-online.waraxe.us/).

Este ataque puede ser explotado por aplicaciones maliciosas, que perfectamente pueden obtener el IMEI y número de teléfono y enviarlo silenciosamente a un servidor remoto.

[/URL][URL="http://samgranger.com/whatsapp-is-using-imei-numbers-as-passwords/"]samgranger.com/whatsapp-is-using-imei-nu … s-passwords/ (http://samgranger.com/whatsapp-is-using-imei-numbers-as-passwords/)

interesante