Para utilizar WhatsApp tras instalarlo no es necesario registrarse ni seguir complicados procesos de autentificación. La aplicación registra automáticamente al usuario, generando un nombre y contraseña únicos, que comunica a los servidores de WhatsApp al inicio de cada sesión.

El nombre de usuario no es más que el número de teléfono y la clave es el MD5 invertido (puesto al revés) del IMEI del teléfono.

Sabiendo esto, es relativamente fácil conseguir acceso al API de los servidores de WhatsApp para ver los mensajes intercambiados por la víctima, si tenemos acceso físico a su móvil (hay que marcar *#06# para ver el IMEI). A partir de ahí, generar su MD5 e invertirlo es cosa de niños.

Este ataque puede ser explotado por aplicaciones maliciosas, que perfectamente pueden obtener el IMEI y número de teléfono y enviarlo silenciosamente a un servidor remoto.

samgranger.com/whatsapp-is-using-imei-nu … s-passwords/