Cómo identifica WhatsApp a un usuario específico

Navega tus respuestas
2

¿Cómo identifica WhatsApp a un usuario específico para enviarle los mensajes?

Esto es lo que hice:

  1. He realizado una copia de seguridad de mi aplicación iOS desde mi dispositivo anterior
  2. Restauró la copia de seguridad en el nuevo dispositivo
  3. WhatsApp abierto en nuevo dispositivo

Y funciona sin necesidad de verificación por SMS para un nuevo dispositivo.

Eso me dice que WhatsApp hace una de dos cosas:

  1. WhatsApp inserta su número de teléfono durante el proceso de verificación en la propia aplicación
  2. WhatsApp incrusta el código de verificación que obtienes a través de SMS en la aplicación y lo usa como identificador para ese número de teléfono

El primer método es estúpido si es cierto, porque cualquier persona inteligente puede revertir la ingeniería y modificar el código de WhatsApp e incrustar cualquier número de teléfono que quiera hackear.

El segundo método parece inteligente ya que nadie conoce el código de SMS, excepto usted, pero tampoco es seguro, porque el gobierno o cualquier persona que tenga una conexión, por ejemplo, no tendrían ningún problema para recibir todos los mensajes SMS entrantes de cualquier teléfono y desde allí pueden aplicar ingeniería inversa a la aplicación WhatsApp e incrustarla también.

    
pregunta Flexair Flexair 17.12.2015 - 17:10
fuente

1 respuesta

1

Según Wikipedia

  

Tras la instalación, crea una cuenta de usuario con el número de teléfono como nombre de usuario

     

...

     

Una actualización de 2012 ahora genera una contraseña aleatoria en el lado del servidor.

     

...

     

WhatsApp sigue un mecanismo de "almacenamiento y envío" para intercambiar mensajes entre dos usuarios. Cuando un usuario envía un mensaje, primero viaja al servidor de WhatsApp donde está almacenado. Luego, el servidor solicita repetidamente al receptor que acuse recibo del mensaje.

La clave es darse cuenta de que, en todo esto, la aplicación no utiliza servicios de telefonía, por lo que no puede usar su número de teléfono de la manera tradicional. También tenga en cuenta que cuando instala la aplicación, está creando una cuenta donde su nombre de usuario es su número de teléfono. Piensa en ello como si cuando te inscribieras en un intercambio de pila, solo te asignaran un número aleatorio en lugar de permitirte elegir un nombre.

En cuanto a por qué no tuvo que volver a verificar su cuenta a través de SMS, si la copia de seguridad de iOS también realizó una copia de seguridad de los datos y la configuración de la aplicación, la aplicación tendría todo lo que necesita para conectarse como su cuenta.

En términos de seguridad: dado que la contraseña de la cuenta es la forma en que casi todos los servicios verificados funcionan, este método sería tan seguro como los archivos de configuración de su aplicación. Uno podría argumentar que es más seguro que otros servicios, ya que el usuario no conoce su nombre de usuario / contraseña y, por lo tanto, no puede revelarlos (si usted cree en la seguridad por oscuridad).

    
respondido por el tbernard 17.12.2015 - 20:11
fuente

Lea otras preguntas en las etiquetas

Implicaciones de seguridad de la clave de la API de Dropbox expuesta y el secreto ¿Cómo se crea de forma segura una base de datos MySQL y un usuario a través de la línea de comandos?