WhatsApp dreigt met juridische stappen als de ontwikkelaars van het Github-project WhatsAPI hun activiteit niet meteen staken. WhatsAPI is een open source versie van het protocol wat door WhatsApp wordt gebruikt, geschreven in PHP en Python. De ontwikkelaars hebben het project inmiddels offline gehaald terwijl er overleg wordt gevoerd.

WhatsApp lijkt een securitygat, dat kan worden uitgebuit met behulp van de API, aan te grijpen om WhatsAPI offline te dwingen. Ondertussen weigert het bedrijf achter het populaire chatnetwerk zelf de oorzaak van het lek aan te pakken, schrijft Heise Security. WhatsApp hult zich ook tegenover zijn miljoenen gebruikers in stilzwijgen.

Wachtwoord gebaseerd op IMEI

Twee weken geleden werd bekend dat derden eenvoudig WhatsApp-accounts kunnen kapen en chatgesprekken afluisteren. Het blijkt namelijk dat WhatsApp-wachtwoorden relatief eenvoudig zijn te achterhalen, ze zijn namelijk gebaseerd op het IMEI-nummer van de mobiele telefoon van de gebruiker. De gebruikersnaam is het telefoonnummer.

In Android is de IMEI door apps van derden uit te lezen en dat maakt het lek makkelijker te misbruiken. Heise meldt dat er momenteel in elk geval één dubieuze webdienst bestaat om WhatsAppers af te luisteren.

Meer securityblunders

Het is niet de eerste keer dat WhatsApp securityproblemen heeft. Afgelopen mei kwam er ook een methode naar buiten om WhatsApp af te tappen en vorig jaar bleek dat de dienst het chatverkeer niet versleutelde.