โปรแกรมแชตที่ได้รับความนิยมสูงมากบนโทรศัพท์มือถืออย่าง WhatsApp ถูกวิจารณ์ว่ามีปัญหาความปลอดภัยเพราะไม่เข้ารหัสการเชื่อมต่อมาโดยตลอด จนมีคนทำโปรแกรม WhatsAppSniffer เพื่อดักฟังการแชตบน Wi-Fi มาให้ใช้งานกันเป็นเรื่องเป็นราว การอัพเกรดรอบหลังสุดของ WhatsApp จึงแก้ปัญหานี้ด้วยการเข้ารหัสการแชตทั้งหมด แต่ก็มีคนพบว่ามันใช้หมายเลข IMEI เป็นรหัสผ่าน

ตัวรหัสผ่านที่ส่งผ่านทางโพรโตคอล XMPP ที่ถูกดัดแปลงจริงๆ เป็น md5(strrev(IMEI)); หากผู้ร้ายรู้หมายเลข IMEI และหมายเลขโทรศัพท์ก็สามารถล็อกอินเข้า WhatsApp แทนเหยื่อได้ทันที

ปัญหาของการใช้ IMEI เป็นรหัสผ่านคือหมายเลขนี้ไม่ได้ออกแบบมาให้เป็นความลับ มันถูกเรียกดูได้ง่าย และแอพพลิเคชั่นต่างๆ เองก็สามารถอ่านค่านี้จากโทรศัพท์เพื่อส่งกลับไปยังเซิร์ฟเวอร์ได้

คำแนะนำเดียวสำหรับแอพพลิเคชั่นที่มีช่องโหว่ซ้ำซ้อนต่อเนื่องแบบนี้ คือ แนะนำให้ทุกท่านเลิกใช้งานจนกว่าจะมีการปรับปรุงจนแน่ใจได้ครับ

ที่มา – Sam Granger