¿WhatsApp utiliza la fijación de certificados? Encontré una publicación en Preatorian Security de febrero de 2014 que señala la falta de identificación de certificados como un problema de seguridad importante, y menciona:
Actualización 21/02/2014: WhatsApp está trabajando activamente para agregar SSL Pinning ahora
¿Cómo puedo investigar si ya implementaron esta función en un cliente determinado? Estoy interesado en los clientes de Android y Mac (lanzados ayer).
Por lo que yo sé, Whatsapp utiliza la fijación de certificados. Cuando intenté analizar la aplicación de Android en enero, no acepté mis certificados falsificados (creados con mitmproxy). No volví a investigar más y podría haberme perdido algo.
Sin embargo, Whatsapp actualizó sus algoritmos de cifrado a principios de este año e introdujo cifrado de extremo a extremo y, por lo tanto, los mensajes ahora están mejor cifrados de lo que sería posible con TLS.
Lea otras preguntas en las etiquetas tls certificate-pinning mobile desktop