Andere Android-apps kunnen de berichtendatabase van WhatsApp zonder al te veel moeite buitmaken. De gebruikte encryptie kan daarbij eenvoudig worden gekraakt. Dat stelt een Nederlandse systeembeheerder, die een proof-of-concept heeft gemaakt.
Om de berichtendatabase van een WhatsApp-gebruiker buit te maken, is het voldoende om hem een applicatie te laten installeren die zowel bij de sd-kaart kan als op internet mag, schrijft sysadmin Bas Bosschert op zijn eigen website. "Omdat de meeste mensen alles toestaan op hun Android-apparaat, is dat niet echt een probleem", aldus Bosschert.
De WhatsApp-database wordt opgeslagen in een subfolder van de sd-kaart, schrijft Bosschert. Daardoor kan elke applicatie die bij de sd-kaart mag bij de database. Android-apparaten zonder sd-kaart-slot hebben overigens een geëmuleerde partitie op het flashgeheugen die zich voordoet als sd-kaart. Het uploaden van de database is vervolgens een koud kunstje.
Sinds enige tijd versleutelt WhatsApp de databases, maar daarvoor wordt op elke telefoon dezelfde sleutel gebruikt, waardoor de databases met een simpel scriptje te decrypten zijn. "Facebook had WhatsApp niet hoeven kopen om je WhatsApp-berichten te lezen", sneert Bosschert.
Overigens moet een gebruiker de malafide applicatie wel nog installeren, en de kans is groot dat het kwaadaardige gedrag wordt opgemerkt in de Play Store. Een kwaadwillende zou de code om WhatsApp-gesprekken te stelen echter bijvoorbeeld kunnen combineren met een applicatie als Flappy Bird, een populair spel dat uit de Play Store is gehaald, inclusief instructies om het sideloaden van apps mogelijk te maken, schrijft Bosschert.